带有服务器后端的 iPhone 应用程序 - 如何确保所有访问仅来自 iPhone 应用程序？

Question

我不太介意盗版等，但我想确保后端（基于 Rails）不向可以 DOS 等的自动化服务开放。因此，我只想确保对后端的所有访问（这将是对 GET 和 PUT 数据的一些 REST 查询）将通过有效的 iPhone 应用程序，而不是在计算机上运行的某些脚本。

我想避免使用帐户，以便获得无缝的用户体验。

我的第一个意图是将 UDID 和密钥哈希在一起，并通过 HTTPS 连接将其（和 UDID）提供给服务器。这将允许创建经过身份验证的会话或返回错误。

如果被窃听，攻击者就可以获取哈希值并重放它，从而使该方案容易遭受重放攻击。但是 HTTPS 连接不应该保护我免遭窃听吗？

谢谢！

Answer 1

没有办法确保它，因为它可以被欺骗。

如果你真的想走这条路（老实说，除非你在这里做一些真正超级关键的任务，否则你可能是在浪费时间），你可以传递 iPhone 设备令牌。或者也许散列它然后传递它。当然，你无法在服务器端或其他任何地方验证它，但如果一个坏人真的想把你打倒，这是他必须首先处理的第一个障碍。

Answer 2

就像 bpapa 说的那样，它可以被欺骗，但是，就像你说的，你并不担心有人过来，只是连续向你的服务器发送一千个请求，而你的服务器必须处理每个请求。

你对哈希的想法是一个好的开始。从那里，您还可以将当前时间戳附加到预哈希值中，并将其一起发送。如果给定的时间戳与服务器当前时间相差超过 1 天，则禁止访问。无论如何，这会在一天多后阻止重放攻击。

另一种选择是使用随机数。任何人都可以从您的服务器请求随机数，但设备必须将其附加到预哈希数据中，然后再将哈希发送到服务器。生成的随机数必须被存储，或者可以只是服务器的当前时间戳。然后，设备必须将服务器的时间戳而不是自己的时间戳附加到预先哈希的数据中，从而使重放攻击发生的时间比一整天短得多。

Answer 3

将 SSL 与客户端证书结合使用。您的客户端中有一个私钥并为其颁发一个证书，并且您的 Web 服务器可以要求提供此客户端证书以便会话继续进行。

我无法提供 Rails 的代码详细信息，但从架构角度来看，这是最安全的做法，尽管可能有点矫枉过正。带证书的 SSL 是一种标准的行业解决方案，并且 iPhone/客户端和服务器端都存在库，因此您不必发明任何东西或实现太多，只需让它们很好地协同工作即可。

您还可以考虑 HMAC，例如 HMAC-SHA1，它基本上是这里其他人谈论的哈希值的标准化。如果您向其中添加随机数，您也可以安全地抵御重放攻击。有关如何使用随机数实现 HMAC-SHA1 的想法，您可以查看 OAuth 协议（不是整个流程，而是它们如何将随机数和其他参数绑定到经过身份验证的请求中）。