ios - 如何保护应用程序 - 后端通信?

标签 ios security apple-push-notifications backend

我有一个 iOS 应用程序和一个小型后端,目前我使用它来管理 apns(Apple 推送通知)。注册过程只是一个带有参数的 GET 调用到我的后端,并且由于没有“身份验证”或任何其他类型的控制,我担心任何人都可以通过虚假设备注册使我的后端过载。

所以主要问题是:在没有身份验证的情况下,我如何才能使这种应用程序发送信息到后端的传输安全?

我想到的一个简单想法是使用应用在注册设备时必须提供的 token 生成某种哈希...

最佳答案

没有办法彻底解决这个问题。无法知道正在连接的是您的应用程序。您所能做的就是添加一点混淆。

最好的第一步是使用 SSL with a pinned certificate使中间人攻击更加困难。客户端证书可以提供帮助,但设置起来有点麻烦,而且与其他解决方案相比不会给您带来太多好处。

如果您有固定证书和 SSL,只需发送一个共享 key 和 GET 可能就足够了。将 secret 从一个版本更改为另一个版本,这样你就可以淘汰旧的。如果有人对您的应用程序进行了足以破解固定证书(或直接读取共享 secret )的逆向工程,那么他们也将破坏所有其他方法。

即便如此,这里还有一些增加了一点额外的层次:

Bidirectional shared-secret verification with AES是一种很好且简单的方法,但需要握手(即您不能使用单个 GET 来完成)。您当然可以只实现这种单向方式(这样服务器会验证 key ,而不是客户端),但您仍然需要握手。

如果您想将您的身份验证 token 保留为单个 GET 并且无法固定您的 SSL 证书,并且您可以使您的 GET 幂等(无论如何,好的 REST 调用应该是幂等的),那么这是一个简单的实现:

  • 构造GET请求
  • 计算 HMAC(SHA-256, shared-secret, get-request, 16 bytes)
  • 发送 HMAC 和 GET 请求

在 iOS 上,这看起来像:

NSData *key = ...random 32 bytes shared with server...;
NSURLRequest *request = ...;

// Allocate some memory for the HMAC
NSMutableData *hmac = [NSMutableData dataWithCapacity:CC_SHA256_DIGEST_LENGTH];

// Convert your URL into data. This assumes that this is a GET request, so the URL
// has everything. This also assumes that the GET is idempotent, so if someone
// replays this GET request, you don't care.
NSData *requestData = [[[request URL] absoluteString] dataUsingEncoding:NSUTF8StringEncoding];

// Compute the HMAC
CCHmac(kCCHmacAlgSHA256,
       [key bytes],
       [key length],
       [requestData bytes],
       [requestData length],
       [hmac mutableBytes]);

// Truncate the HMAC (this is common practice. It's slightly better, and at least no
// worse, to send half the HMAC rather than the whole HMAC).
NSData *token = [hmac subdataWithRange:NSMakeRange(0, [hmac length] / 2)];

NSURLRequest *finalRequest = ... add the token to your request ...

您当然会在服务器端计算相同的东西。您可以将此视为“签署 GET”。如果您的请求不是幂等的,那么您真的应该努力解决这个问题。如果您无法修复它,您可以将时间戳集成到哈希中并丢弃太旧或您以前见过的请求。 (在这样做的过程中,您已经使 GET 成为幂等的....)

当您升级您的应用程序时,您可能应该更改您的共享 key 。这样,您最终可以淘汰已发现的旧共享 secret 。

是的,这些都可以逆向工程。 任何尝试对应用程序(而不是用户)进行身份验证的东西都可以进行逆向工程。因此,请保持简单,并更多地关注如果发生这种情况您将如何恢复。

如果可能的话,添加用户身份验证。它更强大。

关于ios - 如何保护应用程序 - 后端通信?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21832756/

上一篇:ios - SKAction : How to Animate Random Repeated Actions

下一篇:ios - 为什么 +[UIColor whiteColor] 不等于另一个白色?

相关文章:

iphone - 如何使用苹果推送通知沙箱作为虚拟设备?

ios - 如何使用 .p8 JWT key 测试推送? (APNs 授权 key )

iOS Swift GMSMarker 不会删除

ios - 更改 FBSDKLoginButton 的默认标题

java - 在服务器之间共享 REST token

iphone - 收到远程通知时自动启动 iPhone 应用程序

ios - iOS 中的极地变换

ios - 在 Apple 的增强现实示例代码 "pARk"中使用四元数

security - 基于浏览器的 xmlhttp/js/perl/php 游戏作弊预防

linux - 我可以使用 Kprobe 阻止新进程执行吗?

©2024 IT工具网  联系我们