验证 iOS 应用程序

Question

我们有一个 iOS 应用程序，它与后端的各种 Web 服务交互。然而，后端想要验证发送给它的请求是否来自我们有效的 iOS 应用程序，而不是来自重放攻击或“中间人”攻击。我们最终会将所有调用更改为 https。但是，后端有什么方法可以验证请求是否来自我们的合法应用程序？我们正在考虑在每个请求中使用加密随机数，但它仍然容易受到“中间人”攻击。 iOS 应用程序和服务器之间是否可以使用任何证书交换？

Answer 1

TLS 和 SSL 支持使用证书的客户端身份验证。 NSStream可能支持客户端身份验证，但我无法找到一种方法来做到这一点，而不需要直接使用 OpenSSL 进行实际实现。

添加：
ASIHTTPRequest 支持客户端证书 自版本 1.8 以来，因此在实现它时没有大惊小怪。

Answer 2

使用私钥/公钥方案以便 iOS 应用程序可以对其发送的每个请求进行签名怎么样？

如果私钥/公钥方案听起来很可怕，那么通过使用 sha1、sha2 或其他加密哈希算法。这将非常容易实现（实现很容易实现）、快速，并且将确保更高的安全级别。

Answer 3

我建议使用 OAuth。它众所周知、易于理解并且非常安全，如果有人获得您的令牌，您可以通过应用程序更新发布新的令牌并撤销旧的令牌。

Answer 4

这是一个普遍的 http 问题，而不仅仅是 iOS 问题。事实上，这正是 https 旨在解决或至少缓解的问题。您可以对请求进行签名、使用 HMAC 对消息进行身份验证、使用摘要身份验证等，但只要您使用 http，就无法轻易检测到中间人攻击。花时间尽快转向 https。

Answer 5

这个问题是不可能绝对解决的。您放入方案中的任何内容最终都可以通过越狱手机并在调试器中运行客户端来破坏。当然，这并不意味着您不能使用客户端证书等来欺骗您的客户端，而且您应该这样做。但是，如果金融交易的安全性取决于您的应用程序不可欺骗，那就糟糕了……