У меня есть веб-служба, написанная на .NET, которая предоставляет данные для приложения iPhone. Это также позволит приложению сделать «бронирование».
В настоящее время все это внутри корпоративной сети, но, очевидно, когда приложение iPhone будет опубликовано, мне нужно будет обеспечить внешнюю доступность веб-службы.
Как мне обеспечить безопасность веб-службы?
Есть два аспекта, которые я изучаю:
- Аутентификация для доступа к веб-сервису
- Защита передаваемых данных
Меня не беспокоит передача данных туда-сюда, так как они все равно будут доступны для просмотра в приложении (которое будет бесплатным). Ключевой вопрос для меня - это запрет на доступ пользователей к веб-службе и резервирование самостоятельно.
В данный момент я рассматриваю возможность шифрования любых строк в данных XML, передаваемых туда и обратно, чтобы только клиент мог эффективно использовать веб-сервис, обходя необходимость аутентификации и обеспечивая защиту данных. Это единственная модель, которую я видел, но я думаю, что накладные расходы на iPhone и даже на веб-сервис ухудшают качество обслуживания пользователей.