關於在iPhone應用程序中實現Web服務器安全的建議

Question

我在應用商店中有一個相對成功的應用程序，允許用戶使用其服務器上託管的JSON文件查看其iDevice上的指標。該應用程序有一個簡單的設置屏幕，您只需輸入您的JSON文件的URL，應用程序負責可視化文件中的數據。我爲此使用AFNetworking。 例如，URL可能是：http://www.mylargecompany.com/factorykpi.json

客戶現在回到我身邊並要求能夠更安全地連接到他們的服務器。問題是您可以通過無數種方式保護您的服務器。

我需要一些建議。我需要將什麼樣的標準安全功能構建到我的應用程序中。我很困惑的OAuth，HTTPS等

我相信OAuth意味着客戶服務器將不得不使用它嗎？您可以在應用程序中創建一個通用的OAuth登錄屏幕，還是需要知道要連接哪個Web服務器進行身份驗證？

即使是最基本的安全措施的任何意見將非常歡迎！

問候， MonkeyBusiness

Answer 1

安全真的是一個非常廣泛的話題。沒有簡短的答案。無論如何，Web服務和客戶端應用都需要實現安全機制。我會建議您提供Web服務和客戶端應用程序。

您可能需要用密碼「服務器驗證用戶身份」和「客戶端使用證書驗證服務器身份」進行某些用戶登錄。然後您利用HTTPS確保以安全的方式傳輸可靠的數據。 Web服務應該使用衆所周知的Web應用程序框架來實現，因爲安全是一件可怕的事情，並且很棘手。自己實施一切，可能會以不理想的不安全應用程序結束。

您現在應該閱讀有關複雜主題的更多信息，並在您遇到具體問題時再回來。

Answer 2

......最基本的是使用https，它可以保護交易，但任何訪問相同鏈接的人都可以訪問相同的數據。因此，您需要進行某種身份驗證，從以POST請求，用戶名和密碼和/或證書形式傳遞的簡單密鑰開始。