iphone - 保护在 iPhone 上访问的 RESTful API 的最佳方法是什么

Question

我正在寻找一些关于如何保护对 RESTful API 的访问的建议，该 API 最初由 iPhone 应用程序使用，但将来会有其他客户端。此 API 公开的数据必须保持安全，因为它可能包含健康信息。所有访问都将通过 HTTPS 完成。

我想我希望在设置时要求预先注册 iPhone，然后在每次请求时还需要某种类型的 PIN/密码。因此，仅知道密码而不预先注册电话/客户端将无法提供访问权限。如果可能的话，我正在考虑以某种方式将它与 iPhone 标识符联系起来，但不确定它是否会提供任何额外的安全性。 iPhone 标识符只是另一条信息，它甚至可能不是那么 secret 。

所以，一些要求是:

• 在 iPhone 上使用某种基于 pin 的解决方案，但想要获得比简单的 4-6 位 pin 可以提供的更多安全性。
• 无法以明文方式发送密码。
• 不受回复攻击
• 在设置客户端时必须在客户端和服务器之间预先交换一些数据是可以的。

Answer 1

我认为，如果应用程序包含医疗记录，您会希望用户每次使用该应用程序时都进行身份验证，或者至少有某种方式下推禁用消息，使该应用程序在丢失或被盗的情况。如果适用，4-6 个字符的密码(pin)也会让我担心 HIPAA。

从服务器的角度来看，您可能希望将其视为标准网络应用程序，并使用超时的 session 进行基于 session 的身份验证和访问，可能在很长一段时间后，并在超时时重新进行身份验证。