我开始使用 HTML5 和 PhoneGap 开发 iOS 应用程序。
我有一个关于这里安全的问题。由于 iOS 应用程序无法运行 PHP 代码,因此人们使用 REST API 与服务器通信,以便从数据库等获取数据。还是我错了?
无论如何,这如何保证安全?例如,某人只需从应用程序中提取代码即可访问 API 调用。这怎么可能安全呢?我不是在寻找代码片段,我想知道使用什么方法来保证这一点?到目前为止,我脑子里只有一些令牌,比如用于防止 CSRF 攻击等的令牌。
您可以使用休息服务,但这并不意味着您授予该服务的访问权限。您必须处理会话,但不包括明文密码等,除非您通过提示用户连接到后端,使用 Oath 验证会话并将其存储在钥匙串中。您可以强制用户在会话过期时重新插入信息,并且您可以在用户每次访问应用程序时进行检查。 如果您反编译应用程序或只是解压缩应用程序,则可以访问html代码,但区别在于“如何管理连接”。显然,正如我告诉您的,如果您使用静态信息(使用 .plist 文件或其他文件),您的应用程序将非常低效并且容易损坏。我的建议是学习如何在 iOS 中使用钥匙串、NSURLCredential、OAuth 和 cookie 管理。