iPhone HTTP 请求安全

Question

我对这类事情不太了解，所以请原谅

我正在向服务器发送 HTTP 请求，我希望服务器知道该请求是真实的，所以我有一个带有证书和密钥的 p12（预-由服务器制作）与我的应用程序捆绑在一起，当我向服务器发送请求并收到挑战时，我提取并使用它作为凭证。

但我想知道这有多安全？我的 p12 解密密码位于我的代码中，因此破解我的应用程序二进制文件的人是否无法看到该字符串？如果是这样，那么他们是否能够破坏 p12 并使用它向我的服务器发出恶意请求？

谢谢

Answer 1

您是否考虑过将 HTTPS 与客户端证书身份验证结合使用？这肯定会解决你的身份验证问题，但我不确定这在 iPhone 中是如何工作的。 （例如，Safari 在选择客户端证书的方式方面存在问题。）
这将在传输级别（HTTP 下的 TLS）进行身份验证。

如果您想在消息级别（在 HTTP 内）执行此操作，您还可以使用通过标头中的私钥签名的摘要。
已经有一个用于摘要的标准标头 (Content-MD5)，但我不会推荐 MD5，因为最近发现了一些弱点。也许尝试 SHA-1 或更高版本。
这些摘要不会被签名，因此您需要一个额外的标头来对其进行签名（例如 X-Content-RsaWithSha1），如果服务器不知道是哪个，则可能还需要另一个标头来发送证书提前期待的证书。
您还需要支持在服务器端读取和验证这些自定义标头。

HTTPSec 规范 解决了 HTTP 级别的消息级安全问题，尽管我不知道有任何 iPhone 实现。

关于 p12 文件的安全性，如果您的应用程序打算使用它，如果它捆绑在应用程序中，您将需要以某种方式发送其密码，因此破解二进制文件肯定也会泄露该密码，从而泄露私钥。