在iPhone應用程序中使用REST API時的安全性

Question

我知道這個問題以前曾以各種形式提出過。但是，我不在尋找「使用https」的答案。我已經在使用HTTPS，而且我並不擔心有效負載傳輸的敏感性。但是，我正在使用的iPhone應用程序正在與我創建的REST API（我有應用程序和服務器的控制權 - 因此，歡迎任何建議）交談。

我用於身份驗證的OAuth2用戶協議，這意味着，我的「API密鑰」是一個客戶端ID和客戶端祕密的組合僅需要被髮送到獲取access_token。之後，使用access_token和包含請求主體的HMAC的標頭（使用客戶機密鑰作爲密鑰）將所有請求發送到服務器。這個添加的唯一原因是，有人不能通過一個access_token進行API請求。

我正在與之交談的API將在我發佈應用程序時公佈。所以我不一定擔心其他人能夠對其進行API調用。

我關心的是：

• 人們能夠使用我的應用程序的客戶端憑證（這意味着我無法檢測在服務器端，它不是來自我的應用程序調用API ）
• 人們能夠濫用額外的範圍，我的客戶端ID將讓他們有和傳統的API用戶將不必

我的猜測是，有沒有真正解決這個問題的解決方案（除使用UIWebView並製作一個glor ified webapp），但我想我會問在這裏無論如何。

如果需要應用程序使用，你們都可以考慮保護客戶端ID /客戶端密碼的方法嗎？

Answer 1

我知道這不是你所希望的答案，但不幸的是，我不認爲你能夠絕對保證地完成你的目標。在一天結束的時候，你不能相信你不能控制的客戶，一旦離開你的手，你就無法控制它。

爲了實現您的兩個目標，您需要驗證訪問該API的客戶端是否由您編寫。做到這一點的方法是使用公鑰/私鑰對。您需要將私鑰嵌入到可用於簽署某些內容的客戶端中。這樣服務器就知道請求來自你的客戶而不是別人的請求。這也可以讓你限制只有你的客戶的某些電話。

但是，這不是防彈的，因爲精明的用戶可以逆向工程並從您的應用程序中提取私鑰並使用它來欺騙源。雖然不是防彈的，但它是防彈的，因爲這樣做需要很多工作，並且技術性很強，尤其是在使用緩衝塗抹，大量紅鯡魚等抗RE技術時。

如果我對於你，我會問自己，如果有人確信黑客攻擊會造成什麼樣的損害。如果你是Facebook，它是災難性的。如果你服務於一個內部組織，它可能不是什麼大問題。如果你無法承受單一的濫用，那麼你需要重新考慮你的設計，因爲這一個不起作用。你根本無法信任你無法控制的代碼，並且一旦它在別人的設備上，你就不再控制客戶端了。