1
我目前正在设计一个分布式iOs游戏。它必须包含一种身份验证(用户名,密码对我认为,但请给我其他想法,如果你有)。我打算通过一个简单的Perl编码的RESTful API来实现它。客户端 - 服务器游戏安全架构
我知道这是一种经典的问题。我在网上看到很多帖子都在谈论如何安全地做到这一点。但是,太多的信息会影响其信息量的目标。所以,我有点失落。不过,我已经尽力了出点基本概念,即:
- 使用SSL(因此使用HTTPS URL),它可以让你不要去想加密
- 采用嵌入式私钥的服务器和共享客户端,但如何嵌入它们是一个问题!它允许使用HMAC并进行一种认证。
- 忘记绝对安全(因为您使用默默无闻的安全性):如果任何人都可以通过反编译您的应用程序来破坏您的安全,那么您会遇到问题!
这里有几个问题:
- 如何共享私钥?
- 要发送给服务器的内容是什么?用户名/密码加密?一些API密钥?
- 我是否有正确的方法(确保个人安宁的api)?
谢谢!
谢谢您的回答。是的,我知道我的问题太广泛了。对不起!您如何建议我将用户名/密码对发送到服务器:使用SSL的简单GET请求?还是经典的http摘要认证?这里有安全问题吗?并且我必须发送凭证与每个请求或为下一个请求设置一张票的种类。 – user1553136
我会说,这取决于你的服务器端。看看你的框架中有什么可用的,并使用它(不要重新发明自行车)。很常见的方法是发布长寿命的安全cookie(一般来说 - 一张票),它用于所有以下请求。 –