Beschränken Sie den Zugriff auf das Web-Service auf die iPhone-App

Question

Ich verwalte die Entwicklung einer iPhone-App, die für den Zugriff auf Kataloge auf Web-Services basiert. Mein Hauptsicherheitsproblem besteht momentan darin, dass jemand auf meinen Webservice zugreift und meinen gesamten Katalog repliziert/scrappt (im Moment enthält er nichts proprietäres - aber das würde sich ändern).

Kurz gesagt, ich muss den Web-Service-Zugriff auf meine iPhone-App beschränken. Während die App in der Beta ist, könnte ich leicht die iPhone-Geräte-ID bekommen und sie auf nur die 5 Entwickler beschränken. Aber wenn die App online geht, möchte ich (und ich bin mir nicht sicher, ob ich rechtlich kann) Geräte-IDs für die Authentifizierung sammeln.

Ich habe versucht, den Zugriff durch den Benutzer-Client-String zu begrenzen - aber das kann gefälscht werden.

Mein nächster Schritt ist eine Art geteilter Passphrase - aber auch das kann geschnüffelt werden.

Irgendwelche anderen Ideen?

TIA,
Guy

Answer 1

Letztlich dies geht auf die Authentifizierung gehen. Ich denke, dass Sie sichere Kommunikation verwenden müssen - nämlich eine Art von zertifikatsbasierter Verschlüsselung mit einem Wert, der nur für die iPhone-Anwendung verfügbar ist.

Wenn die Auth gefälscht werden kann, haben Sie keinen Schutz dagegen.

dort einige Informationen in dieser Frage ist: Best Security Framework to secure and authenticate an iPhone app which uses REST? oder hier

http://www.flowmessenger.com/blog/2009/11/10/iphone-and-secure-restful-authentication.html

Answer 2

ich eine ähnliche Lösung und die Möglichkeit, die Sicherheit gebaut haben, ist es mit https-Zugriff auf den Server und den Benutzernamen Passwort-Authentifizierung adressiert die für den Zugriff auf API/Webservice.

Ich glaube, Sie können sich wohler fühlen durch die Geräte-ID oder etwas anderes mit einem höheren Grad an Vertrauen zu begrenzen, sobald Sie HTTPS

implementieren