于是我找了两个应用之间传递数据的安全方式(试图实施IOS应用的安全提供商的OAuth)。这是我的安全和一些附加假设/需求定义:如何实现安全,应用程序间的通讯在IOS
- 我要应用一个调用应用程序B和传递令牌TokenA,然后应用程序B读取一些结果在此基础上记号,然后将结果返回回到应用程序A.假设有一个名为应用程序C的恶意应用程序,我想确保应用程序C无法拦截应用程序A和B之间的任何消息。
- 假设TokenA是应用程序C可以获取的一些公共信息。我想,以确保应用程序B不响应与TokenA的请求,除非它是从应用A.
- 假设应用B实际上是一个“服务提供商”和app A可以提供给应用B的一些信息(例如,IOS捆绑ID)当应用程序A注册使用该服务。
- 安全的消息传递方法不得要求越狱手机。
- 假设应用程序C可之前或应用程序A之后B.
本来我想过使用一些基于模式的方法来安装,但是这并不安全,因为如果应用程序C可为A和B register for the same scheme ,然后拦截该消息(违反要求1)。
检查重复的意图也是不够的,因为如果安装的应用程序A的用户不具备,则攻击者可以对应用程序A的方案,并绕过这个检查登记(违反规定2)。
我看着Facebook的IOS OAuth,他们似乎需要应用程序在Facebook注册时输入他们的“包ID”。我相当肯定Facebook在某种检查中使用这个捆绑ID,但不知道是什么。
任何帮助表示赞赏。