有没有办法知道使用哪个证书应用程序签名?
我想保护应用免于使用另一个开发者证书退出。
假设我们有客户端-服务器应用程序。服务器保留与开发者证书相关联的唯一密钥。
所以对于服务器的每个请求,我们都会传递这个密钥,如果应用程序将与另一个开发者的证书重新组合,那么服务器就会知道这一点。
这可能吗?或者可能有其他方法可以防止辞职?
【问题讨论】:
标签: ios security iphone-developer-program code-signing-certificate
您可以通过手动解析应用程序包中包含的embedded.mobileprovision 文件中的数据来了解用于签署应用程序的证书和配置文件。如果您查看该文件,您将看到有关证书和配置文件的信息。
以下是如何以编程方式从您的应用中获取嵌入式配置文件数据的示例:
NSString* bundleDirectory = [[NSBundle mainBundle] bundlePath];
NSString* db = [NSString stringWithFormat:@"%@/embedded.mobileprovision", bundleDirectory];
NSData* data = [NSData dataWithContentsOfFile:db];
// parse through the data to get your provisioning profile info. I'd recommend opening up the profile that is inside your .app to see how it is structured.
但是:
我不确定您为什么需要这样做,因为没有人可以重新签署您的应用,除非他们拥有正确的证书来匹配为您的应用捆绑 ID 制作的配置文件。
获得它的唯一方法是拥有拥有捆绑 ID 的 Apple 开发者帐户的凭据,或者如果有人“获得”您的证书和配置文件的访问权限。
如果发生后者,我认为您应该从苹果开发者帐户中撤消该配置文件并创建一个新的配置文件来解决安全漏洞。这样,只要您有权访问开发者帐户,您就可以随时阻止这种安全漏洞,而不是在客户端和服务器之间编写代码来检查它。
【讨论】: