在我的应用程序中,一旦用户通过身份验证,他就会收到一种安全密钥,需要为他在 iPhone/iPad 上的会话存储该密钥。此安全密钥用于会话期间他未来的所有请求。如果我将密钥存储在某个全局变量中,它有多安全?iPhone越狱后还能访问吗?如果是这样,保存会话密钥的安全地方是什么?
谢谢, 黑塔尔
问问题
133 次
1 回答
1
你担心谁会窃取代码?用户或其他恶意程序?如果它是用户,并且代码非常有价值,您必须假设任何可以物理访问设备的人理论上都可以破坏它。但实际上,你是相当安全的。您可以在代码位于内存中时对其进行加密,并且仅在使用时对其进行解密。
同样,实际上,网络应用程序一直通过 cookie 执行此操作。如果代码仅对单个会话有效,那么如果它被泄露,您可能是安全的。您可能想在代码在内存中时认为它是“安全的”,但要设置其他保护措施来检测它何时以及是否确实被盗。即代码仅在 10 分钟内有效,然后必须刷新,仅从一个 IP 有效或限制交易数量等。取决于您的应用程序需要什么。
于 2010-07-30T17:12:38.273 回答