我在Laravel中设计一个REST API,用于我的ios应用程序.目前我被困在以下几点:如何保护我的REST API只允许访问我的ios应用程序?

我读过有关HTTP基本身份验证,HMAC,oAuth2的内容.

1)基本身份验证需要SSL,并且它要求您在每次api呼叫时发送用户名:密码.

>但这并不能阻止其他人使用其他应用程序的API,假设他们将登录凭据发布到端点?

2)我理解HMAC方法以及客户端和方法.服务器都知道Public&私钥.私钥与请求和其他数据一起被加密.公钥在标头中发送.当服务器收到请求时,它会检测标头中的公钥并将其与DB中的私钥相关联.然后重新计算哈希并检查它是否匹配.所以,我有以下问题:

>如果不通过网络发送私钥,新注册用户如何获得存储在IOS应用程序中的私钥?
>这是否更适合使用您的应用程序的应用程序?我通常在像Instagram&amp ;;这样的API仪表板中看到这一点. Facebook在哪里给你一个app密钥,对吧?

3)oAuth2 – 对我而言,这似乎更像是允许人们使用其他API登录我的应用程序.例如,允许用户使用FB登录我的应用程序并允许我的API使用Facebook数据?我此刻并不是真的需要这样做.

>我误解了这个吗?

听起来我需要通过向我的IOS APP授予一个私钥来将类似于HMAC方法的内容合并到我的IOS APP代码中.当从ios app中运行请求时,我传递带有私钥和其他数据的哈希,然后当在服务器上收到请求时,我通过重新计算哈希来检测请求是否来自应用程序内的用户.我不知道这是否安全&我会认为不是吗?

我缺少什么知识?我现在很困惑,写这个问题是一个很大的斗争.一旦事情变得更加清晰,我会立即修改它.

解决方法

1.
你没错,这并不能阻止未经批准的客户.

2.
这实际上并不是一种防止未经批准的客户端的方法,它更多的是验证消息是否未通过网络进行篡改.

3.
您正确理解oAuth,它是关于验证客户端以特定方式使用API​​以及限制权限.

实际上不可能锁定您的API,因此只有特定的客户才能使用它,因为无法验证客户端到底是谁.此外,在客户端完成的任何形式的身份验证或验证最终都可以进行逆向工程,然后可以作为“已批准”的客户端发送到服务器.

这样的事情可以使用令牌完成.服务器向客户端发送令牌,客户端对令牌执行一些已知的操作,例如salting和hashing,使用已知的salt和hash操作,然后返回令牌以证明客户端是真实的.

问题是,如果有人对您的客户进行逆向工程,他们可以确定该操作是什么,然后创建自己的客户端,以相同的方式进行身份验证.任何形式的客户端身份验证都不是真正的安全性,也不可信任.

另一种方法是打破,如果有人可以MiTM您的请求.请求可以在到达服务器之前被捕获和修改,并且除了使用SSL之外,实际上没有任何方法可以防止这种情况发生,这可以通过SSLStrip之类的东西来解决.

任何阻止未经批准的客户的尝试基本上都是security through obscurity,因为没有一种可证明安全的方法来做你所要求的.

保护API的最佳方法不是限制哪些客户端可以访问它,而是通过使其安全.最佳实践包括强制SSL,仅发送一次密码,然后使用令牌进行身份验证等.

保护MY REST API仅用于MY IOS APP的更多相关文章

  1. HTML5 播放 RTSP 视频的实例代码

    目前大多数网络摄像头都是通过 RTSP 协议传输视频流的,但是 HTML 并不标准支持 RTSP 流。本文重点给大家介绍HTML5 播放 RTSP 视频的实例代码,需要的朋友参考下吧

  2. 利用Node实现HTML5离线存储的方法

    这篇文章主要介绍了利用Node实现HTML5离线存储的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  3. 详解如何通过H5(浏览器/WebView/其他)唤起本地app

    这篇文章主要介绍了详解如何通过H5(浏览器/WebView/其他)唤起本地app的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  4. H5混合开发app如何升级的方法

    本篇文章主要介绍了H5混合开发app如何升级的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  5. AmazeUI 折叠面板的实现代码

    这篇文章主要介绍了AmazeUI 折叠面板的实例代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  6. HTML5之消息通知的使用(Web Notification)

    通知可以说是web中比较常见且重要的功能,私信、在线提问、或者一些在线即时通讯工具我们总是希望第一时间知道对方有了新的反馈。本篇文章主要介绍了HTML5之消息通知的使用(Web Notification),感兴趣的小伙伴们可以参考一下

  7. HTML5手指下滑弹出负一屏阻止移动端浏览器内置下拉刷新功能的实现代码

    这篇文章主要介绍了HTML5手指下滑弹出负一屏阻止移动端浏览器内置下拉刷新功能的实现代码,代码简单易懂,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧

  8. Html5 video标签视频的最佳实践

    这篇文章主要介绍了Html5 video标签视频的最佳实践,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  9. html5唤起app的方法

    这篇文章主要介绍了html5唤起app的方法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  10. HTML5拍照和摄像机功能实战详解

    这篇文章主要介绍了HTML5拍照和摄像机功能实战详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

随机推荐

  1. iOS实现拖拽View跟随手指浮动效果

    这篇文章主要为大家详细介绍了iOS实现拖拽View跟随手指浮动,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

  2. iOS – genstrings:无法连接到输出目录en.lproj

    使用我桌面上的项目文件夹,我启动终端输入:cd然后将我的项目文件夹拖到终端,它给了我路径.然后我将这行代码粘贴到终端中找.-name*.m|xargsgenstrings-oen.lproj我在终端中收到此错误消息:genstrings:无法连接到输出目录en.lproj它多次打印这行,然后说我的项目是一个目录的路径?没有.strings文件.对我做错了什么的想法?

  3. iOS 7 UIButtonBarItem图像没有色调

    如何确保按钮图标采用全局色调?解决方法只是想将其转换为根注释,以便为“回答”复选标记提供更好的上下文,并提供更好的格式.我能想出这个!

  4. ios – 在自定义相机层的AVFoundation中自动对焦和自动曝光

    为AVFoundation定制图层相机创建精确的自动对焦和曝光的最佳方法是什么?

  5. ios – Xcode找不到Alamofire,错误:没有这样的模块’Alamofire’

    我正在尝试按照github(https://github.com/Alamofire/Alamofire#cocoapods)指令将Alamofire包含在我的Swift项目中.我创建了一个新项目,导航到项目目录并运行此命令sudogeminstallcocoapods.然后我面临以下错误:搜索后我设法通过运行此命令安装cocoapodssudogeminstall-n/usr/local/bin

  6. ios – 在没有iPhone6s或更新的情况下测试ARKit

    我在决定下载Xcode9之前.我想玩新的框架–ARKit.我知道要用ARKit运行app我需要一个带有A9芯片或更新版本的设备.不幸的是我有一个较旧的.我的问题是已经下载了新Xcode的人.在我的情况下有可能运行ARKit应用程序吗?那个或其他任何模拟器?任何想法或我将不得不购买新设备?解决方法任何iOS11设备都可以使用ARKit,但是具有高质量AR体验的全球跟踪功能需要使用A9或更高版本处理器的设备.使用iOS11测试版更新您的设备是必要的.

  7. 将iOS应用移植到Android

    我们制作了一个具有2000个目标c类的退出大型iOS应用程序.我想知道有一个最佳实践指南将其移植到Android?此外,由于我们的应用程序大量使用UINavigation和UIView控制器,我想知道在Android上有类似的模型和实现.谢谢到目前为止,guenter解决方法老实说,我认为你正在计划的只是制作难以维护的糟糕代码.我意识到这听起来像很多工作,但从长远来看它会更容易,我只是将应用程序的概念“移植”到android并从头开始编写.

  8. ios – 在Swift中覆盖Objective C类方法

    我是Swift的初学者,我正在尝试在Swift项目中使用JSONModel.我想从JSONModel覆盖方法keyMapper,但我没有找到如何覆盖模型类中的Objective-C类方法.该方法的签名是:我怎样才能做到这一点?解决方法您可以像覆盖实例方法一样执行此操作,但使用class关键字除外:

  9. ios – 在WKWebView中获取链接URL

    我想在WKWebView中获取tapped链接的url.链接采用自定义格式,可触发应用中的某些操作.例如HTTP://我的网站/帮助#深层链接对讲.我这样使用KVO:这在第一次点击链接时效果很好.但是,如果我连续两次点击相同的链接,它将不报告链接点击.是否有解决方法来解决这个问题,以便我可以检测每个点击并获取链接?任何关于这个的指针都会很棒!解决方法像这样更改addobserver在observeValue函数中,您可以获得两个值

  10. ios – 在Swift的UIView中找到UILabel

    我正在尝试在我的UIViewControllers的超级视图中找到我的UILabels.这是我的代码:这是在Objective-C中推荐的方式,但是在Swift中我只得到UIViews和CALayer.我肯定在提供给这个方法的视图中有UILabel.我错过了什么?我的UIViewController中的调用:解决方法使用函数式编程概念可以更轻松地实现这一目标.

返回
顶部