iPhone - Web访问身份验证

Question

我正在为我们的主管构建一个安全的应用程序...这是我的设置。这是一个有点Macgyver的方法，但承担着我:)

1. 只有10个用户，我有一个数据库表后端每个uniqueIdentifier的记录。 （这仅适用于我们的用户是内部的，所以我不认为我打破了API文档中提到的公共用户注册规则）
2. 通过即席分配我在所有10个设备安装我的应用程序
3. 我的应用程序是根本由一个UIWebView组成。
4. 当应用程序启动时，它会发送POST到我们的https站点发送uniqueIdentifier。 （感谢this answer）
5. 收到POST的服务器页面会检查uniqueIdentifier，如果找到，会设置一个会话cookie，并自动将它们记录到站点中。
6. 这样用户不必每次都输入他们的凭证。

那么你怎么看，有没有这个安全漏洞呢？

感谢

Answer 1

既然你存储你所有的唯一ID的应用程序，每一个是解锁访问的证书，所有我需要做的就是偷你的员工的手机之一或以其他方式获得的副本应用程序来查找这些密钥。

如果您需要在电话上存储凭据，请使用iPhone's Keychain。