我建(S)的iPhone应用程序,它通过REST Web服务(泽西)通过JSON对象的Java中间层后端传输数据...最佳安全框架来保护和认证使用REST的iPhone应用程序?
问:
(1)什么是确保此iPhone应用程序的登录/身份验证的最佳方式?
(2)是否有用于获得这种类型的功能的开源或商业框架?
到目前为止,我所遇到的OAuth,SAML和REST身份服务
(3)将这个框架要求SSL?
(4)它验证客户端(不仅仅是用户)?
(5)我对这种错误的方式?这意味着我应该只使用每个REST调用所需的加密标记并安装SSL?
会很感激这一点,如果有人理解我的处境,并可以帮助......我知道,这能以某种方式在一个iPhone应用程序来完成,因为美国银行和亚马逊有这种相同类型的登录功能和安全性。
快乐编码,
迈克
我做的JavaOne大会上演示在所使用泽西服务器,OAuth的(通过OpenSSO)和一个JavaFX客户在6月开始。该代码有点实验性,但它可能对您有用 - 请参阅this blog entry - 特别是评论#2。 There's also a video that explains it at a high level。我使用XML,但是,由于OAuth在HTTP级别工作,对于JSON来说,它同样适用。
BTW - there's an Objective C OAuth Consumer implementation - 我还没有使用它,但Pownce did。
许多SSO方案依赖于网址重定向可以在iPhone应用程序是有问题的。 Pownce人尝试在他们的应用中使用OAuth,显然这种体验让用户感到困惑。经过一番研究后,我决定采用an approach based on secure WSSE username tokens,这与Atom应用中使用的方法相同。请享用。
当你说登录/认证,你的意思是你的应用程序独有的“Web服务的关键”或者是你谈论的是每个用户的用户名/密码? – 2009-07-24 01:35:29
我的意思是......保护每一个REST API调用和登录/认证的能力。 – 2009-07-27 10:28:54