Защита потока данных для приложения iPhone

Question

Я создаю приложение, которое извлекает данные из файла на моем сервере. Этот файл получает данные из моей базы данных на основе значений GET, которые передаются через URL.

Я бы хотел оставить этот канал закрытым, то есть я не хочу, чтобы люди находили источник данных и читали данные самостоятельно. Я подумал об отправке буквенно-цифрового идентификатора вместе со строкой URL, но если они смогут найти URL-адрес, по которому я звоню, то ничто не помешает им также получить этот буквенно-цифровой идентификатор.

Я ищу любые идеи или опыт, которые могут мне здесь помочь.

Answer 1

Вы можете использовать HTTPS, который предотвратит случайное наблюдение за передачей данных, хотя и не защитит его полностью.

Вы также можете потребовать, чтобы пользователь входил в систему для получения канала, было бы относительно легко обойти процесс регистрации пользователя, используя UDID устройства в качестве значения учетной записи, а затем просто запросить у пользователя пароль ... Этот метод все еще может быть использован злоумышленником, но как только вы введете учетные записи пользователей, вы сможете ограничить количество запросов.

Вы также можете использовать guid или хеш в строке url, чтобы случайный наблюдатель не мог просто перебрать все возможные значения для очистки вашей базы данных.

Answer 2

На самом деле нет способа помешать людям читать ваш канал. Вы можете ввести в заблуждение, но основная проблема заключается в том, что любой может загрузить приложение и проверить его, чтобы выяснить любой секрет, который вы используете, чтобы скрыть данные.

Однако что-то, что могло бы скрыть это от случайного наблюдателя, - это сохранить ключ в сегменте кода вашего приложения и затем (по каналу TLS) передать этот ключ на сервер, который затем предоставит доступ.