如何防止未經授權的HTTP請求？

Question

我在我的iOS應用程序像這樣的代碼：

URL *url = [NSURL URLWithString:@"http://urltomyapp.com/createaccount"]; 
ASIFormDataRequest *createAccountRequest = [ASIFormDataRequest requestWithURL:url]; 
[createAccountRequest setPostValue:email forKey:@"email"]; 
[createAccountRequest setPostValue:password forKey:@"password"]; 
[createAccountRequest startAsynchronous]; 

在我的服務器上執行，我簡單地採取通過self.request.get（「電子郵件」）此信息，並創建一個帳戶，沒有做任何檢查或任何東西。然而，似乎任何人都可以輕鬆地運行上面的代碼（我的意思是你需要做的就是複製上面的代碼並把它放到你自己的應用程序中，對嗎？），所有他們需要知道的是服務器地址，他們可以將他們想要的任何數據附加到請求中，服務器將繼續爲它們創建一個帳戶。

我該如何授權請求才能知道他們來自我的應用程序和我的應用程序？這是一個普遍的問題嗎？其他產品如何防止這種情況發生？

Answer 1

首先，免責聲明。我當然不是不是的網絡專家，也不是我的安全專家。事實上，我根本就沒有回答的唯一原因是Stackmonster的答覆中的討論。

但是，我知道攔截SSL連接非常容易，尤其是在用戶是同謀的情況下。

一般來說，我認爲以下是一些好處。

您必須確定您嘗試保護的是誰/什麼。如果你只是想保護應用程序和服務器之間的通信數據，https將會很好。外部監聽與窺探其他SSL流量一樣有效（或無效）。但是，如果你試圖保護你的API（你的問題似乎暗示了這一點），那麼用戶看到你發送的命令是很簡單的（就像你自己用Charles發現的那樣），這是微不足道的。

那麼，你想阻止任何人知道你的API的細節嗎？你想只是防止DOS攻擊，或者只讓有效用戶發出命令，或者什麼？

然後，您可以擔心身份驗證和授權（兩個不同的主題）。也許驗證請求來自已知實體就足夠了。

無論如何，指導是非常困難的，因爲您首先必須決定您的網絡隱私目標是什麼。

然後，如果他們是崇高的，你在閱讀很多。

但是，在某些時候，您必須決定什麼對您的應用/業務至關重要，哪些不是。就像任何優秀的軟件設計一樣，然後創建一組要求。然後，按照某種順序排列優先次序（例如，強制性的，基本的，好的，可以沒有的）。

這會告訴你，如果你需要額外的安全性和什麼樣的。

然而，大多數人發現，即使鎖上所有的門和擋住窗戶，也不值得浪費時間和金錢（更不用說保護煙囪，在牆壁，地板和天花板上添加混凝土，房間，並僱用武裝警衛）。

Answer 2

使用HTTPS並在應用程序中放置證書以驗證客戶端是否允許與服務器通信。

但是相信我，它真的不值得這一切。使用HTTPS通常可以自行使用。