iPhone - Web 访问身份验证

Question

我正在为我们的执行人员构建一个安全的应用程序...这是我的设置。这是一种有点 Macgyver 的方法，但请耐心等待:)

1. 只有 10 个用户，我在后端的数据库表中记录了每个 uniqueIdentifier。 （这仅适用于我们的用户内部，因此我不认为我违反了 API 文档中提到的公共用户注册规则）
2. 通过临时分发，我在所有 10 台设备上安装了我的应用程序
3. 我的应用程序只是由 UIWebView 组成。
4. 当应用程序启动时，它会向我们的 https 站点发送一个 POST 消息，发送 uniqueIdentifier。 （感谢这个答案）
5. 接收POST，检查唯一标识符，如果找到，则设置一个会话 cookie，自动将它们记录到站点中。
6. 这样用户就不必每次都输入其凭据。

那么您认为这是否存在安全漏洞？

谢谢

Answer 1

由于您将所有唯一 ID 存储在应用程序中，每个 ID 都是解锁访问权限的凭据，因此我所需要做的就是窃取您员工的一部手机，或者以其他方式获取应用程序的副本来查找这些密钥。

如果您需要在手机上存储凭据，请使用 iPhone 的钥匙串。