在企业级应用中,iOS和Java之间用RESTful通信,如果想提高安全性,用什么比较好?OAuth是不是一种选择?还有其他的吗?
如果是https,那么可以用Basic,Digest,客户证书等常规的验证,还可以做HMAC。
如果是http,那么可以做HMAC,但由于通讯不安全,可能还要自己进行内容加密。
OAuth,这个貌似就一种标准实现
HMAC,这个具体有好几种实现
首先要搞清楚为什么不安全。
主要存在如下几种形式的威胁:
(1)调用的往返数据被窃听,以至于其中包含的诸如密码、账户、返回的数据、敏感信息等泄露
(2)篡改,数据请求或者返回被中间节点服务器篡改,也包括故障而丢失数据,而对此客户端服务器端毫不察觉
(3)冒用身份,第三方攻击者拿到窃听的账户,以用户的身份调用,而服务器误以为是用户的请求,而进行不允许的操作
冒用身份还有一种就是冒用服务器,客户端是真实的,而攻击者使用代理服务器或者钓鱼网站或者dns污染的形式伪造一个假的服务器,从而欺骗用户提交业务数据和账户
(4)滥用,比如DDoS攻击,恶意的客户端发送错误的,不合规的数据,大量发送请求,等等
对于这些问题,必须在通讯层面、应用层面、会话层面都加以防范,而不是仅仅用某个协议某个框架就能搞定的。
有限考虑用HTTPS,然后就是访问的时候,需要提供Token信息等来进一步认证