Безопасная связь iPhone (iOS) / сервера

Question

Я создаю приложение для iPhone, которое будет отправлять запросы моему приложению, работающему на сервере.Я использую REST для создания API приложения сервера.Что является лучшим способом для защиты запросов от iPhone к серверу и наоборот.Является ли OAuth хорошим вариантом?Что бы вы порекомендовали?

Спасибо!

Answer 1

Если вы управляете сервером, используйте соединение SSL / TLS для всех соединений между телефоном и вашим сервером.Убедитесь, что код телефонного приложения проверяет сертификат сервера (например, чтобы убедиться, что это сертификат для вашего доменного имени, где ваше доменное имя жестко закодировано в исходном коде).Это защитит от подслушивания, атак «человек посередине», подделки сообщений и других атак на данные во время их передачи.

Answer 2

На самом деле нет никакого способа ответить на вопрос «что лучше», не имея гораздо больше информации о потребностях вашего приложения в безопасности.

В общем, вы должны учитывать аутентификацию, авторизацию и транспорт.

Аутентификация может быть такой же простой, как логин / пароль для входа. Это может быть простая аутентификация, OAuth, kerberos и т. Д. Он предназначен для идентификации пользователя. Авторизация определяет, к каким службам разрешен доступ, каким группам или отдельным лицам. Вам нужен способ предоставления и поддержания привилегий. Наконец, защита транспорта обычно означает использование зашифрованных сервисов, таких как HTTPS через SSL. Это предотвращает перехват или изменение данных во время транспортировки.

Есть много других соображений, в том числе о том, как защитить личную информацию, шифрование и т. Д., Но опять же, не существует единого решения, которое можно было бы рекомендовать всем.