我想用jasonette开发一个私人分布式 iOS 应用程序,作为我受密码保护的网站的网关。访问该网站的凭据将直接嵌入在 URL 中,即“ https://user:pass@website.com ”
此解决方案涉及哪些安全风险?
以下是一些进一步的考虑:
- 该网站应该仅供拥有该应用程序的人访问。
- 相关网站受 SSL 保护
- 对于那些熟悉 jasonette 的人:指向配置 JSON 的 URL 和 JSON 中的 URL 都将使用嵌入式密码
- 该应用程序将仅限于 Apple Store Connect 上的组织
以下是我的一些担忧:
- 设备的不受欢迎用户以明文形式查找登录凭据
- 设备上的恶意软件从我的应用程序获取登录凭据
- 中间人在连接到网站时获取登录凭据(url 的用户名:密码部分是否被加密?)