Ios 从iPhone安全地发送post数据
我有以下问题: 我已经了解了如何在iPhone应用程序和Web服务器(SSL、Https)之间创建安全登录。 我的问题是,在创建会话令牌之后,如何确保如果黑客截获了它,在随后的POST请求中,我从同一个用户那里接收到数据 我这样问是因为每次发出请求时我都必须发送会话令牌,对吗?(以便能够识别用户) 我想预防多种情况:Ios 从iPhone安全地发送post数据,ios,iphone,security,post,webserver,Ios,Iphone,Security,Post,Webserver,我有以下问题: 我已经了解了如何在iPhone应用程序和Web服务器(SSL、Https)之间创建安全登录。 我的问题是,在创建会话令牌之后,如何确保如果黑客截获了它,在随后的POST请求中,我从同一个用户那里接收到数据 我这样问是因为每次发出请求时我都必须发送会话令牌,对吗?(以便能够识别用户) 我想预防多种情况: 会话劫持,有人会嗅探用户令牌并代替他发送数据(比如高分或其他) 数据注入使用通常不会从我的应用程序发送的数据,如1.000.000.000高分(可能的分数,但不容易获得) 我一
- 会话劫持,有人会嗅探用户令牌并代替他发送数据(比如高分或其他)
- 数据注入使用通常不会从我的应用程序发送的数据,如1.000.000.000高分(可能的分数,但不容易获得)
- 乌迪德
- 用户代理(如果它不是来自我的应用程序的应用程序名,它不是好的,黑客实际上会猜测我做了这个检查或下载我的php文件,对吗?)
- 该应用程序来自AppStore。如果请求来自未经苹果批准的应用程序,则该应用程序不正常。我不确定你能不能测试一下。如果这样做有效的话,黑客将不得不提交一个应用商店并下载它,以将错误数据插入我的数据库,我希望没有人有时间去做
- MAC地址。不确定苹果是否允许。IP无法工作,因为有效用户可能会更改IP
也许我在这里问的问题不对,所以实际上可能是如何确保我收到的数据来自正确的用户和正确的应用程序 围绕POST请求使用SSL的目的是防止第三方在传输过程中进行拦截。如果黑客能够找到它,这意味着该令牌要么在客户端(根设备)、服务器(不安全的应用程序日志记录/调试)上泄漏,要么他们破坏了SSL。(不太可能) 您可以通过捕获设备UDID(苹果不喜欢这样)或与源IP进行比较来执行一些高级检查,但对于可疑的安全性改进,这将是一个很大的努力 只要确保所有敏感信息都在SSL中,您就可以了