Comment sécuriser mon système GAE

Question

Je développe une application iOS qui utilise GAE comme backend. Les seules données sensibles que mon application va transférer à GAE sont les informations de connexion, tout ce qui est transféré n'est pas sensible. J'ai l'intention d'utiliser SSL pour tout, juste ce qui me semble le plus raisonnable - y a-t-il une raison de ne pas le faire? Aussi, je veux un moyen de m'assurer que mon application est le seul moyen d'accéder à mon système GAE (c.-à-d. Que personne n'y accède depuis le web/usurper un client pour ressembler au mien) comment faire? J'ai lu quelque chose à propos des clés publiques et privées, mais je ne savais pas exactement si c'était pertinent?

Toute aide est très appréciée Merci!

Answer 1

Réponse courte pour votre dernière question: vous ne pouvez pas. Vous ne pouvez pas faire en sorte que votre application soit uniquement accessible via votre application IOS. Vous pouvez le rendre aussi dur que possible, mais vous ne pouvez pas le garantir. La manière correcte ne repose pas sur votre application IOS pour valider l'envoi de données, mais pour effectuer cette vérification dans votre application gae (si nécessaire: nouveau). SSL est une bonne chose de toute façon - si elle est faite correctement (voir: http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf) Mais si les seules données sensibles envoyer est un mot de passe, vous pouvez envisager d'utiliser quelque chose comme SRP (commencer à lire ici: http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol)