0

我已经设置了一个 Web 服务器,并且可以使用 JSON 在它和我的 iPhone 之间交换数据。

JSON 是否已经加密?我正在尝试制作一个人们可以使用的应用程序。我不确定如何安全地验证用户。现在我让他们发送一些唯一标识他们的信息以及他们的 GET 请求。

但是有人不能轻易地把它捡起来,然后重播 GET 请求到服务器以访问相同的信息吗?

这样做的正确方法是什么?

4

2 回答 2

4

JSON is not automagically encrypted, no.

Secure your server with SSH. This should prevent most MITM type attacks. If you are extremely worried about replay attacks from the client side (browser), you will probably need oAuth + a secure nonce.

No security measure will protect you 100%, you have to compromise security vs performance.

于 2012-04-16T10:30:41.123 回答
1

如果您担心 MITM 攻击,很可能有人在您的网络上嗅探请求然后重放它们,您可以设置 SSL 并通过它发送 JSON 请求,这样可以防止攻击。唯一的另一件事是通过 GET 您的安全变量将在 URL 中公开。它是否是理想的形式是您正在传输什么样的信息以及您正在使用什么其他身份验证。

http://joekuan.wordpress.com/2010/05/08/quick-steps-on-setting-up-apache-ssl-php-json-on-freebsd-8-0/

于 2012-04-16T12:01:23.810 回答