我正在编写一个需要与我们的服务器通信的iPhone应用程序。 在服务器端,我正在用PHP编写一个API,应用程序将与之通信。对应用程序进行身份验证并基本上限制对应用程序的访问并将其他人拒之门外的最佳方法是什么?
我需要一种方法来识别对 api 的传入请求是来自我们 api 的合法请求。
我应该记住并计算哪些其他安全问题?
有什么设计建议吗?
我目前正在研究OAUTH可以在这里为我做什么!
我认为
您不需要oauth,因为它只会在您需要涉及三方的身份验证时为您提供帮助。示例:您的应用程序对 Fecebook 用户进行身份验证(此处为三方:您、Facebook 用户和 Facebook)。
我会确保你使用这个:
- HTTPS(切勿通过纯HTTP发送密码或敏感数据)
- 一个
login.php脚本,用于对用户进行身份验证,并在身份验证有效后为移动用户生成access_token。 - 您使用 PHP 提供的每个受限服务都会要求一个有效的
access_token作为要执行的参数。 - 确保您的
access_token在您可能施加的特定时间或条件后过期。
看看大公司?Google 为其所有公共 API 使用 API 密钥,以便他们可以跟踪行为并在预计滥用时进行阻止。
由于您的API可能不是公开的,因此您可能需要更高的安全性,但是您可能需要加密所有通信:<</p>