我目前正在与以下演员合作一个项目:
我正在使用 HTTPS(带有受信任的证书)与服务器通信。 要从服务器检索数据,使用 GET 方法。 为了将数据推送到服务器,移动应用程序通过 HTTPS 使用 POST 方法。
某些传输(例如用户登录/用户数据更新)由于其敏感数据而必须受到保护。
我应该使用什么样的解决方案来强制执行这些传输安全?
感谢您的帮助!
【问题讨论】:
如果您使用的是 HTTPS,那么您已经拥有一级安全性。 要添加另一个级别,您可以在发送到服务器之前对密码进行加密和解密。
iOS 支持 AES256 加密。
这里是 iphone 示例
http://developer.apple.com/library/ios/#samplecode/CryptoExercise/Introduction/Intro.html
我不是 100% 确定,但您也可以为 android 获得类似的 API。
【讨论】:
SSL 是一种可行的方法,它将加密发送该数据,因此流中的任何人都无法读取它。通过 SSL 运行所有交互,这样您就不会以未加密的形式公开凭据 (UN/PW) 或会话 cookie。 SSL 是执行此操作的行业标准方式,并且满足您指定的所有要求。
如果您想将您的服务器应用程序的访问权限限制为只有您的客户端,您可以部署相互验证的 SSL。在您的客户端应用程序中嵌入客户端 SSL 证书,并将您的服务器配置为仅接受来自在连接时提供该证书的客户端的传入请求。
【讨论】: