在企业级应用中,iOS和Java之间用RESTful通信,如果想提高安全性,用什么比较好?OAuth是不是一种选择?还有其他的吗?
http之上的系统交互,安全分为三个话题:
- 确定来源真实性、明文防篡改
- 防信息泄漏(加密)
- 安全的资源授权流程(oauth)
每个话题都有具体方案,你想要做什么?具体场景描述下
可以使用app key和secret加密通讯。
比如你的请求可以使用secret根据一定的算法生成签名串(如果你用https的话,能验证证书,这一步就可以不用了)
OAuth不可行.
OAuth是适用于连接他方账号的登录的一套协议.
而问题君提出的是iOS与后端的Restful JSON通讯.
个人觉得最安全的是首先https, 防止中间人抓取数据进行重放之类的攻击.
然后,用户登录的地方,返回token,token可设置7天或者15天过期,
然后请求时, 由iOS生成nonce(生成)与用户设备标识与token和expiretime和请求参数进行sha1签名,
后端获取请求参数后,验证签名,
并将此nonce与设备组合标记为已使用, 不允许再使用.
这样应该能满足题主的要求了