我们正在为客户开发一个移动应用程序。我们想得到一些建议,如何确保应用程序和网站之间的通信。我们正在开发原生iOS;Android应用程序。网站是用PHP开发的,我们计划使用Json。我们希望确保没有其他应用程序将访问Json服务。我们计划为JSon服务加密查询字符串,并传递一些访问令牌。您是否建议在以前的项目中使用的一些额外的安全功能?也给我们一些链接,可能会解释得更详细。我们正在考虑强制通过SSL调用服务,但不确定服务器上的开销,在使用类似的体系结构之前,有人遇到过SSL的性能问题吗?
您需要让您的移动应用程序验证到您的API。有几种方法可以做到这一点,使用基本授权、OAuth 1.0a甚至OAuth 2(客户端凭据流)。这将允许您让您的移动应用程序拥有REST服务的凭据,而不是其他任何人。使用HTTPS可以对抗中间人攻击,但也会带来一些开销。比较HTTP和HTTPS, HTTP总是更快,但我强烈推荐HTTPS。
我想你可以在这篇文章中找到很多好的指导:
https://stormpath.com/blog/secure-your-rest-api-right-way/和this slideshare:
http://www.slideshare.net/stormpath/secure-your-rest-api-the-right-way