有關在iPhone應用程序中實現Web服務器安全性的建議

Question

我在應用商店中有一個相對成功的應用，該應用允許人們使用服務器上托管的JSON文件查看其iDevice上的指標。 該應用程序具有一個簡單的設置屏幕，您可以在其中簡單地鍵入JSON文件的URL，並且該應用程序負責可視化文件中的數據。 我為此使用AFNetworking。 例如，URL可能是： http : //www.mylargecompany.com/factorykpi.json

客戶現在又回來找我，要求能夠更安全地連接到他們的服務器。 問題在於，有無數種方法可以保護服務器安全。

我需要一些建議。 我需要在我的應用程序中內置什么樣的標准安全功能。 我對OAuth，HTTPS等感到困惑。

我相信OAuth意味着客戶服務器必須使用它嗎？ 您可以在應用中制作通用的OAuth登錄屏幕，還是需要知道要連接到哪個Web服務器進行身份驗證。

任何關於最基本安全措施的建議都將受到歡迎！

此致MonkeyBusiness

Answer 1

安全確實是一個非常廣泛的話題。 沒有簡短的答案。 無論如何，Web服務和客戶端應用程序都需要實現安全性機制。 我建議您同時提供Web服務和客戶端應用程序。

您可能需要使用密碼登錄一些用戶，使用證書“服務器驗證用戶身份”和“客戶端驗證服務器身份”。 然后，您將利用HTTPS來確保以安全的方式傳輸機密數據。 Web服務應使用一種眾所周知的Web應用程序框架來實現，因為安全性是一項令人毛骨悚然的事情，而且很棘手。 自己實施所有操作，可能會以不理想的不安全應用程序結尾。

現在，您應該閱讀有關復雜主題的更多信息，並在遇到特定問題時返回。

Answer 2

...最基本的方法是使用https，這將確保交易的安全，但是訪問同一鏈接的任何人都可以訪問相同的數據。 因此，您將需要某種身份驗證，從作為POST請求，用戶名和密碼和/或通過證書傳遞的簡單密鑰開始。