我正在开发一个 iphone 应用程序,它消耗大量的网络服务并从它们那里请求数据。我所有的网络服务链接都是“http://ipaddress/webservice”。我只是关心我的应用程序的安全方面并想知道
1) 查看从 iphone 应用程序到服务器的请求以及与之相关的数据有多容易。
2)此外,如果我实际上可以在某些拦截工具(如提琴手)中查看我的帖子请求的正文。有没有办法让我的数据不被提琴手记录。
3)最后,我如何在服务器端检查它是否是试图访问我的网络服务的 iphone 或其其他来源,如网络浏览器或 Android 手机。
谢谢
1:非常容易。您可以使用唯一密钥加密您的数据,并在应用程序中对其进行解密。您可能还想使用 SSL?
2:不确定。
3:您可以使用用户代理,但可以对其进行修改,但它是一种解决方案 - 但如果您使用加密,无论如何都无关紧要。因为结果不可读。
编辑,也请查看下面的链接。 Xcode:隐藏/保护最终 iOS 应用程序中的资源文件?
嗅探 http(s) 流量很简单。有一个名为 mitmproxy 的工具甚至可以解密 SSL 流量。您通过 WiFi 发送的任何内容都可能被恰好在监听它的任何人截获并记录下来。
我的建议是不要将用户名和密码作为 URL 的一部分发送,即 mysite.com/auth?user&pass=12345 并使用 SSL。
如果您在标头中编码一个特殊的用户代理字符串,您可以通过这种方式识别客户端。