我正在开发一个使用 GAE 作为后端的 iOS 应用程序。我的应用程序将传输到 GAE 的唯一敏感数据是登录详细信息,传输的任何其他内容都不敏感。我打算对所有事情都使用 SSL,因为对我来说这似乎是最明智的——有什么理由不这样做吗?另外,我想要一些方法来确保我的应用程序是可以访问我的 GAE 系统的唯一方法(即没有人从 Web 访问它/欺骗客户端看起来像我的)我该怎么做?我阅读了一些关于公钥和私钥的内容,但不确定它是否相关?
非常感谢任何帮助 谢谢!
最佳答案
最后一个问题的简短回答:你不能。您无法强制只能通过 IOS 应用程序访问您的应用程序。 你可以让它变得尽可能难,但你不能保证。正确的方法是不依赖你的 IOS 应用程序 验证发送的数据,但要在您的 gae 应用程序中执行此验证(如果需要:再次)。 无论如何,SSL 是一件好事——如果做得正确(参见:http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf) 但是,如果发送的唯一敏感数据是密码,您可以考虑使用 SRP 之类的东西(从这里开始阅读:http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol)
关于google-app-engine - 如何使我的 GAE 系统安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16985758/