保护来自iOS应用程序的API调用

我开始使用HTML5和Phonegap开发iOS应用程序

我有一个关于安全的问题。由于iOS应用程序无法运行PHP代码，因此人们使用RESTAPI与服务器通信，以便从数据库等获取数据。还是我错了

无论如何，这怎么可能是安全的？例如，有人可以从应用程序中提取代码并访问API调用。这怎么可能是安全的？我不是在寻找代码片段，我想知道使用什么方法来保护它？到目前为止，我头上只有一些令牌，比如用来防止CSRF攻击之类的

---

提前谢谢

您可以使用rest服务，但这并不意味着您可以访问该服务。您必须处理会话，但不包括明确的密码等，除非您通过提示用户连接到后端，使用誓言验证会话并将其存储在密钥链中。您可以在会话过期时强制用户重新插入信息，并且可以检查用户每次访问应用程序时是否都会这样做。

---

如果您反编译应用程序或只是解压缩应用程序，可以访问html代码，但区别在于您如何管理连接。显然，正如我告诉过你的，如果你使用.plist文件或其他任何文件来使用静态信息，你的应用程序将非常低效，并且很容易被破坏。我的建议是学习如何在iOS中使用keychain、NSURLCredential、OAuth和cookies管理

我们可以为您描述特定API场景提供更具体的指导。不同的API会有不同的安全攻击向量和不同的缓解措施。非常好的解释！非常感谢。我很高兴，希望能帮助您：