我目前面临安全服务器通信方面的问题。我是一名移动开发人员,我尝试设计 REST(JSON 输出)。为了理解这个问题,让我向您展示我的应用程序中的一个流程:
- 第一个用户登录到应用程序
- 然后可以下载一些个人信息
- 当用户在应用程序中移动时,我想一直与服务器通信。
所以我认为登录名和密码将通过 SSL 发送(对吗?错了?这是第一个问题,也许我应该选择 OAuth?),但是然后呢?我收到登录名和密码,将其存储到我的钥匙串(keychain)中,是否应该向所有用户开放任何其他服务?我认为这个 SSL 在第一个请求中给出的只是表面上的安全性,而不是真正的安全性。
让我向您展示到目前为止我的 REST:
登录:
请求:
https://mywebsiteforrest.com/getin
然后我在标题 username=root&password=pass
响应:
{
"status":100, /*This status tell me that everything is OK */
"userKey":"432fdsf732fds7fstsw87frd7s5fd",
"timestamp":1378651048,
"userId: 342
}
以后的请求:
请求:
https://mywebsiteforrest.com/getmydata
然后我在标题 userId=342&key=432fdsf732fds7fstsw87frd7s5fd
或者也许我应该这样要求:
https://mywebsiteforrest.com/getmydata/342&key=432fdsf732fds7fstsw87frd7s5fd ?
我正在寻找建议是安全的还是(就像我之前说的)表面上的安全。我知道您讨厌这个问题,但是 - 这样做的正确方法是什么?
最佳答案
我建议使用 header 。
header 是完全加密的。通过网络“纯文本”传输的唯一信息与 SSL 设置和 D/H (http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange) key 交换有关。这种交换的设计方式不会向任何第三方或未经授权的人提供任何有用的信息,并且一旦发生,所有数据都会被加密。
关于ios - 与服务器的安全通信 - 解决方案,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18684989/