- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我想提供我的网络应用程序的一些功能以供其他应用程序使用(我主要考虑智能手机,因为它们提供更多功能,例如 GPS、相机等)。
根据我目前在其他 API 方面遇到的情况,例如GoogleMaps,是第 3 方开发人员会在我的网站上注册自己,他得到一个 API key (一些随机 UUID),他必须使用它来验证他对我网站的请求。到目前为止一切顺利...
是否有一种机制可以保护移动应用的最终用户免受恶意应用的侵害?例如。第三方开发人员可以构建一个应用程序并从最终用户那里获取所有用户名/密码,这样他就可以用用户帐户做坏事。(例如,我可以构建一个推特应用程序,捕获所有用户名/密码,然后删除他们所有的推文,发布新推文,..)有没有可能阻止这种情况?据我所知,您可以在网络上使用 oauth,这样我的 网站登录框就会出现在另一个网站上,并询问他们的用户名/密码,这样它就不会显示给第 3 方网站。是否可以为智能手机应用程序实现安全身份验证?你会怎么做?
最佳答案
对于 Android 和 iPhone,您可以毫无问题地使用 OAuth,到目前为止,我认为这是最好的方法。
这两种智能手机类型的流程与网络应用程序相同,因为这两种操作系统都让您可以从您的应用程序启动网络浏览器并将用户重定向到网络提供商,这样他就可以授权您的请求( token ),然后浏览器可以通过适当的回调 URI 将您的用户返回到应用程序。我还没有为手机实现 oauth,但我从 friend 那里听说这是可能的,并且移动浏览器可以使用一些特殊的 URI 将用户重定向回您的应用程序,例如 scheme://app/parameters
。
这里有一些关于 android 的东西:link
有两种 oauth 用例:2 条腿和 3 条腿
两条腿是指您想要保护您的 API,以便它只能从经过身份验证的消费者应用程序调用。这是自古以来就存在的流行方案 AFAIK - 消费者使用消费者共享 key 对每个请求进行签名,而提供者(您的 API)也对请求进行签名以查看签名是否匹配。通过这种方式,您可以判断该消费者是否可以使用 API。
三足 oauth 包括消费者第 3 方应用程序的最终用户。它非常适合,如果你想像 2-legged 一样再次保护你的 API,因为请求仍然是签名的,而且你的 API 也可以通过最终用户的许可来保护。 API 的提供者发出 token 并将其提供给消费者应用程序(第 3 方应用程序)。然后此应用程序将 token 保存在本地并将用户重定向到提供商以对 token 进行授权。当用户授权时,提供者将用户发送回消费者应用程序,然后消费者可以向您的 API 发出经过身份验证(签名)和授权(由用户 - 第三步)的请求。
一旦您阅读了它的工作原理,该协议(protocol)就不是很复杂,并且非常灵活 - 您可以根据需要随意扩展它。我强烈推荐它来保护 API,尤其是在访问 API 需要用户许可的情况下。
这是一个非常好的阅读 oauth 的网站:http://hueniverse.com/oauth/
--- 添加 ---
消费者应用程序中的共享 key 存储存在一些安全隐患 - 在您的案例中是手机应用程序。
如果有人打开您的程序并反汇编代码并提取共享 key ,那么他就可以创建将成功向提供者 API 进行身份验证的应用程序。但是,如果需要用户授权(三足),这不是一个大问题,因为仍会要求用户授予此虚假应用程序的权限 - 现在由用户做出正确的选择。除此之外 - 虚假应用将无法窃取用户的凭据,因为使用 oauth,用户凭据只能在提供商的网站上输入。
关于iphone - 如何为移动应用程序设计安全的 API/身份验证以访问服务?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5340252/
如果我使用 NSUserDefaults 存储应用程序的设置,是否有任何方法可以使我的应用程序的设置“隐藏”,以免显示在 iPhone 上的常规设置应用程序中?我知道还有其他工具,例如 mySetti
我按照该网站的教程进行操作: http://theappleblog.com/2008/08/04/tutorial-build-a-simple-rss-reader-for-iphone/ 为了制
我通过 localisableString 和仅适用于 NSLocale 方法的不同 xib 更改 iPhone 的语言来完成本地化,但应用程序的要求是通过更改应用程序设置 View 中的语言来本地化
我试图弄清楚 iPhone 是否可以通过无线或蓝牙连接到另一台非 iPhone 设备,但发现了相互冲突的信息。我发现的大部分内容都是在 SDK 3.0 版本发布之前发现的,当时这肯定是不可能的。查看堆
This question already has answers here: Closed 7 years ago. Possible Duplicate: How to detect iPhone
当我在模拟器上运行我的应用程序时,每次都会生成白色的空白屏幕。但是当我在底部黑色 iPhone 按钮退出应用程序后,重新进入应用程序后 View 将可见。然后应用程序照常运行。 但是当我将它加载到我的
我的意思是两台 iPhone 设备应该通过蓝牙或 WiFi 连接,并且一台设备的 UI 应该扩展到另一台 iPhone 设备(不共享屏幕)。我们有办法在 iOS 中执行此操作吗? 最佳答案 Bump
如何通过宏检测设备型号?我使用过类似的东西,但模拟器上的结果总是 IS_IPHONE_5 #define IS_IPAD (UI_USER_INTERFACE_IDIOM() == UIUserInt
我目前有一个应用程序要求用户维护 VPN 隧道。加载时我检查 VPN 隧道是否可用。 我想知道是否有任何方法可以显示 UIAlertView,单击“确定”后,用户将进入 iPhone 主设置屏幕,以便
我正在开发一个 iPhone 客户端应用程序,它允许用户对各种服务进行评分。无需注册或登录。 要求是用户不能重复对服务进行评分(尽管可以更改其评分)。从目前的情况来看,该应用程序可以被删除、重新安装,
比如说,我点击一个 iphone 应用程序图标,启动时它将创建一个 .app 文件。那么是否可以从该应用程序调用另一个 iphone 应用程序。或者我们可以在该 .app 文件中执行一些操作,例如它将
真的有可能让iPhone静音模式独立于iPhone App吗? 这个应用程序"Talking Carl"让我很困惑。我的 iPhone 处于静音模式。每当我打开这个应用程序时。应用程序声音处于开启模式
这个问题不太可能对任何 future 的访客有帮助;它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用,visit the
如果我想编写一些自定义 iPhone 应用程序,但不一定通过 App Store 分发它们,是否可以在不加入 iPhone 开发者计划的情况下实现? 假设我只是想为自己编写一些小实用程序并将其放入我的
人们对 Unity 或 Torque Engine 等游戏引擎有何看法和/或体验?如果您是 iPhone 游戏开发新手,是否值得学习其中一种引擎?这些引擎生成的应用程序与使用 sdk 的 native
您能否在未安装 XCode 开发工具的计算机上分发 iPhone 应用程序以在 iPhone 模拟器中进行测试?可以直接在电脑上安装模拟器进行测试吗? 我有一组测试人员,他们不是开发人员,除了能够运行
我想在我的越狱设备上构建并安装我的应用程序,而无需支付 iPhone 开发者计划所需的 99 美元。我有 Rock 和 Cydia...最简单的方法是什么(如果可能的话)? 谢谢。 最佳答案 这是一个
我想测试一个网站,看看它如何与 iPhone 配合使用,但我没有 iPhone 或 iPod touch。有没有一种方法可以让我在不拥有网站的情况下测试网站的运行情况? 我真正想要的是修复 Stack
简单地说;我的 99 美元能给我带来什么我无法免费获得的东西? 好吧,好吧,听起来是个愚蠢的问题,但苹果网站对我来说并不清楚。 我的预感是,您可以在 99 岁时向应用程序商店提交应用程序,但您可以免费
我是一名注册的 iOS 开发人员。如何将我的 iPhone 应用程序转移到我的个人 iPhone? 最佳答案 用于测试?只需选择您的设备而不是模拟器即可。 关于iphone - 如何将我的 iPhon
我是一名优秀的程序员,十分优秀!