Limiter l'accès au service Web de l'application iPhone

Question

Je gère le développement d'une application iPhone qui s'appuie sur les services Web pour fournir un accès au catalogue. Ma principale préoccupation en matière de sécurité à l'heure actuelle est que quelqu'un accède à mon service Web et réplique/racle tout mon catalogue (à l'heure actuelle, il ne contient rien de propriétaire - mais cela changerait).

En résumé, je dois limiter l'accès au service Web à mon application iPhone. Alors que l'application est en version bêta, je pourrais facilement obtenir l'identifiant de l'iPhone et le limiter aux 5 développeurs. Mais lorsque l'application est en ligne, je ne veux pas (et je ne suis pas sûr de pouvoir légalement) collecter des identifiants de périphériques pour l'authentification.

J'ai essayé de limiter l'accès par la chaîne utilisateur-client - mais cela peut être usurpé. Ma prochaine étape est une sorte de phrase de passe partagée - mais encore une fois, cela peut être reniflé.

D'autres idées?

TIA,
Guy

Answer 1

En fin de compte cela va aller vers le bas pour l'authentification. Je pense que vous allez devoir utiliser des communications sécurisées - à savoir une sorte de cryptage basé sur un certificat d'une valeur qui n'est disponible que pour l'application iPhone.

Si l'Auth peut être usurpée alors vous n'avez aucune protection contre cela.

il y a quelques informations sur cette question: Best Security Framework to secure and authenticate an iPhone app which uses REST? ou ici

http://www.flowmessenger.com/blog/2009/11/10/iphone-and-secure-restful-authentication.html

Answer 2

J'ai construit une solution similaire et la sécurité ainsi est abordée avec un accès https sur le serveur et le nom d'utilisateur d'authentification mot de passe pour accéder au API/webservice.

Je crois que vous pouvez vous sentir plus à l'aise de limiter par l'ID de l'appareil ou autre chose avec un niveau de confiance plus élevé une fois que vous implémentez HTTPS