Giới hạn quyền truy cập dịch vụ web vào ứng dụng iPhone

Question

Tôi đang quản lý việc phát triển ứng dụng iPhone dựa trên các dịch vụ web để cung cấp quyền truy cập danh mục. Mối quan tâm bảo mật chính của tôi bây giờ là ai đó truy cập vào dịch vụ web của tôi và sao chép/cạo toàn bộ danh mục của tôi (ngay bây giờ, nó không chứa bất kỳ quyền sở hữu nào - nhưng điều đó sẽ thay đổi).

Tóm lại, tôi cần giới hạn quyền truy cập dịch vụ web vào ứng dụng iPhone của mình. Trong khi ứng dụng đang trong giai đoạn thử nghiệm, tôi có thể dễ dàng lấy ID thiết bị iPhone và giới hạn nó chỉ với 5 nhà phát triển. Nhưng khi ứng dụng hoạt động, tôi không muốn (và không chắc chắn về mặt pháp lý) có thể thu thập ID thiết bị để xác thực.

Tôi đã cố giới hạn truy cập bằng chuỗi người dùng-khách hàng - nhưng điều đó có thể bị giả mạo.

Bước tiếp theo của tôi là một số loại cụm từ mật khẩu được chia sẻ - nhưng một lần nữa, có thể bị ngửi.

Bất kỳ ý tưởng nào khác?

TIA,
Guy

Answer 1

Cuối cùng này sẽ đi xuống để xác thực. Tôi nghĩ bạn sẽ phải sử dụng các giao tiếp an toàn - cụ thể là một số loại mã hóa dựa trên chứng chỉ của một số giá trị chỉ có sẵn cho ứng dụng iphone.

Nếu có thể giả mạo Auth thì bạn không có sự bảo vệ nào chống lại điều này.

có một số thông tin trong câu hỏi này: Best Security Framework to secure and authenticate an iPhone app which uses REST? hay đây

http://www.flowmessenger.com/blog/2009/11/10/iphone-and-secure-restful-authentication.html

Answer 2

tôi đã xây dựng một giải pháp tương tự và cách an ninh được đề cập đến nó với https truy cập trên máy chủ và mật khẩu Tên truy nhập xác thực để truy cập API/webservice.

Tôi tin rằng bạn có thể cảm thấy thoải mái hơn khi giới hạn bởi id thiết bị hoặc thứ gì đó khác với mức độ tin cậy cao hơn khi bạn triển khai HTTPS