比方說,我有一位客戶花了很多時間和金錢創建自定義數據庫。所以需要額外的數據安全性。他們擔心,如果數據庫允許從普通的Web應用程序訪問數據庫,那麼數據庫中的信息可能會被竊取。安全登錄是不夠的;有人可以登錄,然後抓取數據。就像任何其他網絡應用程序一樣,PWA不會防止這種情況發生。有沒有一種方法可以保護數據免於在PWA中被竊取?
我的整體觀點是,必須安裝混合應用程序才能更好地保護敏感數據。這個項目我傾向於React-Native或Ionic。
我錯了嗎?有沒有一種方法可以保護數據免於在PWA中被竊取?
無論技術如何 - 簡單的HTML或PWA /混合應用程序,都無法保護瀏覽器客戶端可見的數據。
雖然你可以讓它更加困難。
強制限制客戶端可以每分鐘/小時/天獲取多少信息。超過限制的人可以被阻止/被起訴/不管。
您可以將一些數據作爲圖像而不是文本返回。會使提取過程有點困難,但會使你的應用程序變得複雜,並會使用更多的帶寬。
如果我們談論的是天然的/混合的應用程序,可加幾層,使其更安全:
我猜iOS應用程序會比Android更安全,因爲Android更易於反編譯並運行帶有刪除限制的修改版本。
同樣,限速似乎是最具成本效益的解決方案。
除了速率限制,您可以添加某種模式限制。例如,如果客戶端以接近限制的定期間隔請求數據,則認爲請求來自機器人並且數據正在被廢棄是合乎邏輯的。
HTTPS加密從您的API中檢索到的數據,所以它不能被中間的男人「嗅」。 存儲在Cache和IndexedDB中的數據有點加密,這使得訪問變得困難。 你應該做的是保護訪問身份驗證背後的數據。 有人可以訪問存儲的數據的唯一方法是打開開發人員工具並查看InsdexedDB中的數據。現在,您只能看到緩存數據庫中緩存的響應。
像亞歷山大說的,混合或原生應用程序不會比網頁應用程序更好地保護數據。
你的觀點是有效的。我最關心刮板機器人。我沒有看到如何刮掉設備上安裝的應用程序。你可以採取截圖,但這是關於它。 –
他們可以嗅探網絡並重新設計您的API並使用簡單的CURL或任何編程語言提出請求。或反編譯APK並使用您的API庫運行報廢。 請參閱我對速率和圖案限制的編輯。 –
感謝您的建議。是的,我正在考慮使用Web服務實施某種令牌方案,以使該部分安全。假設HTTPS和令牌已正確實施,您是否看到有關數據安全性的本機/ hybid應用程序的其他問題?我會接受你的回答作爲現在的答案。 –