iOS應用程序和Web服務器的簡單身份驗證模型

Question

• 我有一個關於API調用的問題。我有一個iOS應用程序 - 與Web服務器通話
• 該應用程序使api調用。這些api的調用主要是使用http和php/js文件/函數）。
• API調用（PHP/JS）會談到Web服務器（HTTP）和做一些分貝（蒙戈）操縱拉適當的內容

我想什麼明白的是我怎麼能能硬編碼密鑰或身份驗證模型與iOS服務器連接，以限制與APP和WebServer的通信。

• 這樣 - 有人不直接調用API並在db中引入 垃圾。
• 這種方式只有應用程序（從應用程序 商店下載）可以與Web服務器/ API服務器交談。

我知道這可能不是最安全的方式來限制服務器和客戶端之間的通信 - 但我也接受其他想法。

感謝

Answer 1

你可以使用一些基於令牌的授權訪問的結構，你的Web服務器上，你可以定義一個關鍵，它需要對API傳遞調用訪問。例如
以JSON Web Token爲例。

希望幫助:)

Answer 2

一個非常簡單的認證方案可以實現這樣的：

1. 客戶端發送認證請求到服務器
2. 服務器驗證認證請求和響應客戶端與會話ID
3. 客戶端將會話Id放入其他請求的標頭中，Server每次收到請求時都會對其進行驗證。

注意這是一個非常簡單的身份驗證方案，容易出現不安全的情況，但會實現您過濾大部分未經身份驗證的請求的目標。我真的建議您閱讀文章Session Management Cheat Sheet並遵循其指導原則來提高此計劃的安全性。

Answer 3

我會從這裏開始。它主要是android - 但檢查出來。 1. How do popular apps authenticate user requests from their mobile app to their server?

創建硬編碼的OAuth登錄帳戶。
https://aaronparecki.com/2012/07/29/2/oauth2-simplified

會話管理是一個選項（以上建議）

https://scotch.io/tutorials/the-ins-and-outs-of-token-based-authentication

http://docs.appcelerator.com/platform/latest/#!/api/Titanium.Network.HTTPClient

Answer 4

有，你可能想看看官方博客約OAuth and Titanium 。它遵循有關持久性，身份驗證和基於XHR驗證的最佳實踐。