3
我想從iphone應用程序向我構建的Web服務發出請求。我如何驗證對Web服務的請求來自我的iPhone應用程序(或任何授權源)並且不是僞造的?如何驗證從iPhone應用程序到我的網絡服務的請求的真實性
我已經看過基於HTTPS的基本身份驗證,但正在將證書烘焙成應用程序安全嗎?
這個問題是不是真的iPhone具體;我想知道如何保護和認證一般的請求。
A
回答
2
可以通過提供您知道的東西,您擁有的東西,您所擁有的東西或三者的組合來聲明身份驗證。
iPhone沒有視網膜或指紋掃描儀,所以沒有「你是什麼」選項可用。
客戶端證書可以很好地用作「您擁有的東西」令牌。大多數智能卡通過使用嵌入式證書籤署消息來工作。當證書泄露時,可以將其放到Web服務器引用的證書吊銷列表(CRL)中。顯然,你不想把你的應用程序的嵌入式證書放在CRL中 - 這將拒絕所有用戶的訪問。相反,你會希望用戶將個人證書下載到他們的iPhone。
之後,這是一個監測不尋常行爲的問題,以找到不良行爲者並將這些證書添加到CRL。兩次提供的贈品將是在一段時間內一次發送太多請求或來自太多不同IP的客戶。
登錄/密碼是一個簡單的「你知道的東西」令牌。與證書一樣,登錄/密碼組合可能會受到影響,並且可能會設置類似的監控以發現不適當的行爲。不同之處在於被盜用的賬戶將被標記爲「被阻止」而不是被添加到CRL。
通過同時需要客戶端證書和登錄名/密碼,您可以增加損害帳戶所需的工作量。
當然,您必須確保只有有效的帳戶被添加到數據庫中。如果有自動創建新帳戶和相應客戶端證書的方式,那麼該帳戶創建服務器/進程將成爲糟糕參與者創建可行的未授權帳戶的最簡單方式。要求真實的用戶登錄賬戶將消除自動化流程,但意味着不滿或腐敗的員工可能會創建無效賬戶。要求第二個人對該賬戶進行反簽名使得單個人難以成爲內部威脅。
總而言之,確保客戶的高度完整性是一個過程,可以任意複雜和昂貴。您決定部署哪些工具和流程作爲身份驗證方案必須根據其所保護的價值進行平衡。
1
理論上,如果您希望連接安全,最好是讓客戶端使用證書籤署他們的請求。有關於此的多種資源。在Google上查找「客戶端證書」。
This example from Sun是在Java中,但是這個概念與任何語言都是相似的。
PS:很明顯,這並不妨礙您使用其他身份驗證方法,如密碼,等...
PPS:請記住,如果有人設法從你的應用程序中提取證書,你是擰任何一種方式;-)。您可以想象一家商店向每個應用程序提供單獨的證書,並使受損的證書無效。
相關問題
- 1. 驗證WCF服務請求的真實性的模式
- 2. 驗證從桌面應用程序到我的網站的HTTP請求
- 3. iPhone應用程序和網絡服務
- 4. iphone網絡服務應用程序
- 5. 驗證移動應用程序的網絡服務
- 6. 驗證從移動(iPhone)應用程序到ASP.Net Web API的請求(我的設計請求提供反饋)
- 7. 從iPhone發送請求到網絡服務器
- 8. 我的Rail3應用程序如何驗證來自iPhone應用程序的請求?
- 9. 主辦與asp.net的iPhone應用程序的網絡服務
- 10. 驗證我的iPhone應用程序
- 11. 如何從我的iPhone調試網絡請求?
- 12. 從iphone到wcf服務的POST請求?
- 13. 如何確定iPhone應用程序發送到服務器的請求(URL)?
- 14. 如何捕捉網絡服務的原始請求/響應
- 15. iPhone應用程序發回數據到網絡服務器
- 16. 從android應用程序到服務器的請求安全
- 17. 從Android應用程序到服務器的HTTP請求
- 18. 用戶驗證網絡服務代碼沒有從Android應用程序運行
- 19. 最佳實踐進行網絡呼叫請求/在iPhone應用程序編程
- 20. 如何驗證c#應用程序中的網絡連接
- 21. ajax php請求到網絡服務
- 22. 使用網絡後端驗證iPhone應用程序
- 23. 「引用程序集」如何驗證「調用程序集」的簽名/真實性?
- 24. 如何從我的iPhone應用程序訪問SOAP Web服務
- 25. 如何使用Facebook登錄或Google+登錄從我的Android或iPhone應用程序到我的網絡服務在我的移動應用程序中登錄
- 26. 如何驗證java web應用程序中的每個請求
- 27. 如何驗證iOS應用程序的http請求?
- 28. 如何驗證Android應用程序的請求
- 29. 如何驗證請求來自特定的Web應用程序
- 30. 安全驗證iPhone應用程序到服務器?
謝謝你的全面和寫得很好的答案 – 2010-07-19 10:59:36