我正在管理依靠Web服务提供目录访问的iPhone应用程序的开发。我现在的主要安全问题是有人访问我的Web服务并复制/抓取我的整个目录(现在,它不包含任何专有内容 - 但会改变)。限制对iPhone应用程序的Web服务访问
总之,我需要限制Web服务访问我的iPhone应用程序。当应用程序处于测试阶段时,我可以轻松获取iPhone设备ID,并将其限制为仅限5位开发人员。但是,当应用程序上线时,我不想(并且不确定是否可以合法)收集设备ID以进行身份验证。
我试图通过用户客户端字符串限制访问 - 但这可能是欺骗。
我的下一步是某种共享密码短语 - 但同样,这可以被嗅探。
还有其他想法吗?
TIA,
盖伊
归根结底,这是怎么回事,深入到认证。我认为你将不得不使用安全通信 - 也就是某种基于证书的加密方式,这种加密方式只能在iphone应用程序中使用。
如果Auth可能被欺骗,那么您对此没有任何保护。
没有在这个问题上的一些信息:Best Security Framework to secure and authenticate an iPhone app which uses REST?或这里
http://www.flowmessenger.com/blog/2009/11/10/iphone-and-secure-restful-authentication.html
我建立了一个类似的解决方案和安全的方式与在服务器和用户名密码验证才能访问HTTPS访问解决它API/webservice。
我相信,一旦实施HTTPS,您可以感受到设备ID或其他信心更高的自信限制