我们有以下内容:
> iPhone本机应用程序,其登录表单发布到:
>远程Web服务器上的php脚本,用于检查MySQL用户表.
为了安全起见,最好的做法是使用某种双向加密方式对每个请求进行加密吗?包括此初始登录?否则,用户和通行证将简单地明确传递给Web应用程序吗?
我想https将自动处理它…
解决方法:
使用SSL或TLS(HTTPS使用的协议)与服务器通信是非常明智的.您可以使用* OpenSSL在* nix或Windows服务器上相当容易地进行此设置.如果您在共享主机上,则他们可以选择购买在给定时间段内有效的SSL证书.这是一个相当琐碎的过程,通常需要大约一周的时间(平均)来设置大多数主机.
还应该注意的是,虽然加密登录过程从来都不是一个坏主意,但是如果您从网络上获得的登录不安全,它也不会使您的系统“整体上”更安全.例如,如果您确保与移动设备的通信安全,但不能保证与台式机或笔记本电脑的通信安全,那么您的安全可能就很短暂了.您的应用程序的安全性仅取决于其最弱的链接,因此保护整个应用程序(对于所有平台)的安全非常重要.
另外,请记住,用户的登录凭据仅与其保护的数据或资源一样有价值:如果您对登录信息进行加密,那么对应用程序的其余部分也进行加密也是一个好主意.无线嗅探技术可以轻松窃取会话数据,私人用户信息或其他敏感数据.确保整个用户会话(而不仅仅是登录过程)的安全,符合用户的最大利益.
希望这可以帮助!