0
我正在为我们的主管构建一个安全的应用程序...这是我的设置。这是一个有点Macgyver的方法,但承担着我:)iPhone - Web访问身份验证
- 只有10个用户,我有一个数据库表后端每个uniqueIdentifier的记录。 (这仅适用于我们的用户是内部的,所以我不认为我打破了API文档中提到的公共用户注册规则)
- 通过即席分配我在所有10个设备安装我的应用程序
- 我的应用程序是根本由一个UIWebView组成。
- 当应用程序启动时,它会发送POST到我们的https站点发送uniqueIdentifier。 (感谢this answer)
- 收到POST的服务器页面会检查uniqueIdentifier,如果找到,会设置一个会话cookie,并自动将它们记录到站点中。
- 这样用户不必每次都输入他们的凭证。
那么你怎么看,有没有这个安全漏洞呢?
感谢
感谢Alex,我会检查KeyChain文档。是的,我曾考虑过他们的手机是否被盗。大多数用户设置为每4小时询问一次密码。关于第二点:我可以存储其独特标识的md5版本 – 2010-03-14 07:55:33
您可能想要与Web应用程序和/或iPhone安全专家交谈,因为您对我的操作听起来有点粗略。例如,md5crack将是恢复密钥的一种方式:http://md5crack.com/尽管您想要做的工作可能取决于应用程序需要的安全程度。 – 2010-03-14 08:14:49