我開始使用HTML5和Phonegap開發iOS應用程序。保護來自iOS應用程序的API調用
我在這裏有一個關於安全性的問題。由於iOS應用程序無法運行PHP代碼,因此人們使用REST API與服務器進行通信以從數據庫等獲取數據。或者我錯了?
無論如何,這怎麼可能是安全的?例如,有人可以從應用程序中提取代碼,並可以訪問API調用。這怎麼可能安全?我不在尋找代碼片段,我想知道用什麼方法來保護它?到目前爲止,我所有的東西都是用來防止CSRF攻擊等的令牌。
提前致謝!
您可以使用休息服務,但並不意味着您正在提供服務的訪問權限。您必須處理會話,但不包括明確的密碼等,除非通過提示用戶連接到後端,使用Oath驗證會話並將其存儲在鑰匙串中。您可以強制用戶在會話過期時重新插入信息,並且每次用戶訪問應用程序時都可以檢查。 如果你反編譯的應用程序或只是解壓應用程序,可以訪問的HTML代碼,但不同之處是「你如何管理連接」。顯然,正如我告訴過你的,如果你使用靜態信息(使用.plist文件或其他),你的應用程序將會非常低效,容易中斷。我的建議是學習如何在iOS中使用鑰匙串,NSURLCredential,OAuth和Cookie管理。
非常好的解釋!非常感謝。 –
我的榮幸,希望能對你有所幫助:) – AlfuryDB
我們可以給你更具體的指導,描述一個特定的API場景。不同的API將具有不同的緩解措施的不同安全攻擊媒介。 –