我正在开发一个原生 iOS 应用,并有一个通过 HTTPS 通信的后端 PHP 服务器。
我现在可以使用用户名/密码登录、facebook 或 google 登录来登录。 服务器将生成一个令牌并将其发送给用户。用户将在每次调用服务器时使用它。
但是: - 服务器“家伙”选择在每次拨打电话时发送一个新令牌。我认为这是一个糟糕的设计,有几个原因。 - 它应该过期吗?如果是这样,我怎样才能为用户体验无缝更新令牌?如果没有,这不是很脆弱吗?
上面是一个好的设计吗?我也想知道你们使用什么作为安全设计?
干杯。
【问题讨论】:
标签: ios security authentication client server
为了保护设备中的令牌,使用 SSKeyChain 而不是 NSUserDefaults 。无需为每次调用生成一个新的 Token。对于每次登录/注册,使用都可以生成一个令牌。
【讨论】:
将令牌存储在 SSKeyChain 中。使用此方法可以重复使用相同的令牌。
- (NSString *)getUniqueDeviceIdentifierAsString
{
NSString *appName=[[[NSBundle mainBundle] infoDictionary] objectForKey:(NSString*)kCFBundleNameKey];
NSString *strApplicationUUID = [SSKeychain passwordForService:appName account:@"incoding"];
if (strApplicationUUID == nil)
{
strApplicationUUID = [[[UIDevice currentDevice] identifierForVendor] UUIDString];
[SSKeychain setPassword:strApplicationUUID forService:appName account:@"incoding"];
}
return strApplicationUUID;
}
【讨论】: