我正在编写一个需要与我们的服务器通信的 iphone 应用程序。在服务器端,我正在用 php 编写一个应用程序将与之对话的 api。验证应用程序并基本上限制对应用程序的访问并将其他所有人拒之门外的最佳方法是什么?
我需要一种方法来识别对 api 的传入请求是来自我们 api 的合法请求。
我应该记住并计算其他哪些安全问题?
有什么设计建议吗?
我目前正在研究 oauth 可以在这里为我做什么!
问问题
630 次
2 回答
1
我认为您不需要oauth,因为它只会在您需要涉及三方的身份验证时为您提供帮助。示例:您的应用程序对Fecebook用户进行身份验证(此处为三方:您、Facebook 用户和 Facebook)。
我会确保你使用这个:
- HTTPS(永远不要通过纯 HTTP 发送密码或敏感数据)
- 一个
login.php将对您的用户进行身份验证的脚本,并且在有效的身份验证后将access_token为您的移动用户生成一个脚本。 - 您使用 PHP 提供的每个受限服务都将要求一个有效
access_token的参数作为执行参数。 - 确保
access_token在您可能施加的特定时间或条件后过期。
于 2012-05-10T18:51:34.803 回答
0
看看大公司?Google 为其所有公共 API 使用 API 密钥,以便他们可以跟踪行为并在预期滥用时阻止。
由于您的 API 可能不公开,您可能需要更高的安全性,但您可能需要加密所有通信:<
于 2012-05-10T18:49:28.957 回答