iphone - ASP 页面和 Cocoa/ObjC 之间的安全通信

Question

这很奇怪。我开发了一个简单的 iPhone 应用程序，供公司管理人员查看实时销售统计数据。第一个障碍是弄清楚如何让应用程序与我们旧的 MSSQL 2005 服务器进行通信。经过一些研究，最快的方法似乎是创建一个基本的 ASP 页面，该页面将通过 response.write() 调用输出查询结果。这实际上工作得很好 - 但返回结果的 ASP 页面是向全世界开放的。我在其上使用的唯一“安全”机制根本不是真正的安全机制——更改服务器端的 HTTP 端口。

所以我的问题是——这方面的最佳实践是什么？ ASP 和 Objective-C 之间有什么关系？我已经阅读了一些基本的质询响应、加密等内容，但对于一串通常难以理解的销售数字来说，这似乎有些过头了。然而，随着应用程序发展成更复杂的东西，我希望在 ASP 开始发送回更敏感的数据之前解决这个问题。

这是我与服务器代码的连接，如果有帮助的话。该常量就在那里，因此我可以将 POST 数据附加到其中，以根据我想要从应用程序中获得不同的统计信息。这个逻辑在别处，并不重要。

NSString * const appDataUrl = @"http://{the url for the asp page}";

//Don't ask me how this works. Google FTW...
-(NSString *) pullData:(NSString *) url {
    NSError * error = nil;
    NSURLResponse * response = nil;
    NSData * downloadedData = 
        [NSURLConnection sendSynchronousRequest:
         [NSURLRequest requestWithURL:
          [NSURL URLWithString:url]] returningResponse:&response error:&error];
    NSString *strData = [[NSString alloc]initWithData:downloadedData encoding:NSUTF8StringEncoding];
    return strData;
}

谢谢大家。

Answer 1

您可以使用 HTTP 身份验证(例如摘要)，其中您可以向每个请求添加用户名和密码。我不知道 Objective-C 是否具有生成相关摘要 token 所需的库，但如果没有，您可以使用可用的 HTTP 库之一，我确信它可以处理该问题。

然后，您可以在 IIS 中添加所需的身份验证，以便只有知道用户名和密码的人才能访问该 URL。

另一种方法是在 Objective-C 中向 HTTP 请求添加一个特殊的 header ，例如具有特殊随机值的 X-Auth(可以是预定义的 GUID)。

请求将与该特殊 header 一起发送，您可以在 ASP 中检查它的存在及其值。

我还建议添加 SSL，以便您可以通过 HTTPS 访问此请求，这样就没有人可以嗅出数据。