iPhone - Аутентификация веб-доступа

Question

Я создаю безопасное приложение для наших сотрудников ... вот мои настройки. Это в некотором роде подход Macgyver, но потерпите меня :)

1. Всего 10 пользователей, у меня есть запись каждого уникального идентификатора на моем бэкэнде в таблице базы данных. (Это является внутренним только для наших пользователей, поэтому я не верю, что нарушаю правило публичной регистрации пользователей, упомянутое в документации API)
2. Через adhoc я устанавливаю свое приложение на все 10 устройств
3. Мое приложение просто состоит из UIWebView.
4. Когда приложение запускается, оно отправляет запрос POST на наш https-сайт, отправляя uniqueIdentifier. (Благодаря этому ответу )
5. Страница сервера, которая получает POST, проверяет uniqueIdentifier и, если найден, устанавливает файл cookie сеанса, который автоматически регистрирует их на сайте.
6. Таким образом, пользователю не нужно каждый раз вводить свои учетные данные.

Так как вы думаете, есть ли в этом дыра в безопасности?

Спасибо

Answer 1

Поскольку вы храните все свои уникальные идентификаторы в приложении, каждый из которых представляет собой учетные данные, которые разблокируют доступ, все, что мне нужно сделать, это украсть один из телефонов вашего сотрудника или иным образом получить копию приложения для поиска этих ключей,

Если вам нужно сохранить учетные данные на телефоне, используйте связку ключей iPhone .