連接到網站的ios應用程序的安全性

Question

好吧，這將是一個非常綠色的問題，可能主要是關於網站安全。

好吧，我有一個網站上有一個.xml文件。用戶應該只能通過某種身份驗證才能訪問此網站（因爲他們通過應用程序購買獲得了訪問權限）。我不是要求代碼或任何內容，我應該查看哪些內容？它不是一個專門的服務器，但只是一個普通的舊網站（託管one.com）

Answer 1

有幾件事情可以做，取決於你想在哪裏交換努力和安全。在URL

1. 重點這是最簡單的解決方案。您只需在XLS的URL中添加一個隨機密鑰即可。例如：http://yourserver.com/lirhmlihxiuhdgrmiurtokucdt/file.xls

   臨：極其簡單，將阻止隨機用戶尋找到XLS

   缺點：鏈接可以很容易地共享。

2. 基本認證

這是稍微複雜一些。根據您的實施情況，您可以保持最終用戶的身份驗證憑據。

親：易於實施。

Con：基本身份驗證仍然可以很容易地被技術熟練的用戶嗅探。

自定義身份驗證

創建需要的應用程序或用戶驗證的登錄和會話系統。爲每筆購買交出個人憑證。

親：體面的安全。比較直接的實施。

Con： XML文件仍然可以共享。如果攻擊者設法提取證書，其他用戶可能會下載相同的文件。

IAP收據驗證

集成的XML的下載到您的IAP流動。從用戶那裏獲取交易令牌並在服務器上驗證它。只有購買合法時，才允許下載XML文件。將文件本地存儲在手機中以供將來訪問。

親：最安全的解決方案，如果你想確保該文件僅用於支付客戶。

缺點：比較難以實現。但是，iAP指南包含良好的文檔。

你需要什麼取決於你要權衡的時間（和成本），它需要你實現與收入來自繞開安全性的預期損失的措施。