iphone - 保护移动设备和 Web 服务之间连接的协议(protocol)？

Question

我正在寻找一种协议(protocol)来保护移动设备和 Web 服务之间的连接。我想确保只有移动设备才能对 Web 服务执行操作，反之亦然。数据不需要加密。

我知道 Oauth，但当您有 3 个不同的实体(服务器、消费者和 Auth)时，它似乎更多地用于保护连接。在这里，消费者和用户将是同一个人。

是否有一个简单的协议(protocol)可以做到这一点(不需要用户登录然后授权访问 token ，就像 Oauth 的情况一样)？

我需要在不同的平台上使用它，所以该协议(protocol)至少需要在 iPhone 和 PHP 上可用。

Answer 1

您需要阐明“安全”的含义。究竟要防范什么？你在担心什么？

也就是说，https(基于 SSL 的 http)是一个很好的起点，这将允许您向设备(或浏览器)验证网站并且无处不在。

如果您想对设备进行身份验证，那就有点棘手了。您可以生成并存储一个共享 key (一个随机数)，并在首次连接到该站点时，在 GET/POST 中提供该 key ……这方面有很多变体，但简单的变体都源于建立一个共享 key ，并且其他任何事情都可能矫枉过正。这将使您能够在下次连接时识别出同一设备正在再次连接。可以把它想象成设备用来登录的密码(但它不需要是一个词，而且可能不应该是)。

这样做的困难在于，如果程序被删除， secret 就会丢失，并且这取决于您究竟想做什么，这可能是一个问题，因为下次在同一台设备上运行该程序时，您将需要建立一个新的 secret 。那样的话你就无法知道这次连接的设备和之前连接的是同一个设备。如果需要，您将需要使用某种重置机制，这很难做到，并且相当于对用户而不是设备进行身份验证。

请注意，iphone 有一个唯一的标识符，但这并不是真正的 secret ，并且提供它并不能真正提供给定设备正在连接的任何证据。提供它也没有什么坏处，但它更像是一个断言“我是设备 foo”，而不是身份证明。将其视为登录的用户名部分 - 您仍然需要一些共享 secret 。