我将为第三方供应商构建的 iPhone 应用程序编写服务。
我将使用 ASP.NET MVC 来接受帖子并返回 JSON 格式的数据。
我的问题是,你如何保护它?
也许只是使用 API key ?这是否足以确保只允许来自 iPhone 应用程序的数据访问指定服务?
最佳答案
我自己也在为同样的概念而苦苦挣扎。我认为第一件事是只做 HTTPS,这样一开始它比不做更安全。
接下来,这取决于您将如何进行身份验证。如果您只需要一个 API key (以跟踪哪个实体正在访问数据)应该没问题。如果您还想跟踪用户信息,则需要某种方法来关联特定 API key 可以访问特定类型的记录,基于某处的连接。
我正在考虑在我的应用程序上进行表单例份验证,并使用身份验证 cookie。幸运的是,IIS 上的 ASP.NET 可以为您完成很多繁重的工作。
示例时间:(我确定我需要为此添加更多内容,但是当我在工作时,它会提供一些东西来啃)
表单验证:
在表单正文中发送一对(或更多)字段。这是一个彻头彻尾的 POST。没有多少不可逆的散列可以保证这一点。为了保护它,您必须始终处于防火墙后面,避免所有入侵者的眼睛(是的,正确),或者您必须通过 HTTPS。很简单。
基本认证:
通过线路发送一个 base64 编码的“用户名:密码”字符串作为 header 的一部分。请注意,base64 用于固定,就像纱门固定在潜艇上一样。您不希望它不安全。 HTTPS 是必需的。
API key :
这表示应用程序应该是 XYZ。这应该是私有(private)的。这与用户无关。最好是在请求 API key 时,与 API 授予者共享一个公钥,允许在传输时对 API key 进行编码,从而确保它保持私有(private)但仍能证明其来源。这可能会变得复杂,但是因为有一个应用程序进程并且因为它不会从供应商那里改变,所以这可以通过 HTTP 完成。这并不意味着每个用户,这意味着每个正在使用您的 api 的开发公司。
所以你想要发生的是,对于访问你的数据的应用程序,你想确保它是一个授权的应用程序,你可以使用私钥进行协商,以便在运行时进行签名。这可确保您正在与要与之交谈的应用程序交谈。但请记住,这并不意味着用户就是他们所说的那样。
然而。
您可以做的是,您可以使用 API key 和相关的公钥/私钥对用户名和密码信息进行编码,以便使用 HTTP 通过网络发送它们。这与 HTTPS 的工作方式非常相似,但您只是加密了消息的敏感部分。
但是要让用户跟踪他们的信息,您将不得不根据用户的登录名分配一个 token 。所以让他们登录,使用适当的系统通过网络发送数据,然后将代表用户的一些唯一标识符返回给应用程序。然后让应用程序在您每次执行用户特定任务时发送该信息。 (通常一直)。
通过网络发送它的方式是告诉客户端设置一个 cookie,我见过的所有 httpClient 实现都知道,当它们向服务器发出请求时,它们会发回服务器设置的所有 cookie仍然有效。它只是发生在你身上。因此,您在服务器上的响应中设置了一个 cookie,其中包含您与客户端通信所需的任何信息。
HTH,问我更多问题,以便我们进一步完善。
关于asp.net-mvc - 使用 MVC 为 iPhone 应用程序构建 RESTful API - 如何保护它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6035296/