Подключаете приложение iPhone к безопасному RESTful API?
Я создаю RESTful API в Python с базой Pylons, обслуживая его с Apache2 и mod_wsgi, и хотел бы подключить его к iPhone-приложению. У меня очень мало опыта работы с HTTPS, SSL и сертификатами, и мне интересно, как я буду защищать свой API.
Как я могу убедиться, что API обслуживается через HTTPS? Нужно ли, как в этом примере, установить SSL-сертификат? Если я подписываю сертификат SSL через авторитет, не признанный iOS (например, CACert.org, и главным образом потому, что он бесплатный), повлияет ли это на способность моего приложения связываться с моим сервером? Как другие решили эту проблему для обеспечения связи между веб-интерфейсом API RESTful и iPhone?
Кроме того, как OAuth вписывается во все это?
2 ответа
Это действительно зависит от того, что вы подразумеваете под "защитой" вашего API.
Вы имеете в виду, что вы хотите A) защитить его, чтобы неавторизованные люди не могли получить доступ к API или B), вы имеете в виду, что вы хотите некоторый уровень шифрования данных, передаваемых между клиентом и сервером?
Если ответ B или оба, то вам обязательно нужно будет получить сертификат SSL и установить его на сервере. Большинство сертификационных органов имеют руководства о том, как это сделать.
Я не уверен, что вы подразумеваете под "авторитетом, не признанным iOS", но вы все равно, вероятно, должны рассмотреть вопрос о том, чтобы выставить тесто для сертификата от признанного авторитета. По-прежнему не помешает попробовать CACert.org, хотя если они предлагают бесплатные сертификаты. Я не могу понять, есть ли какие-либо проблемы с точки зрения возможности взаимодействия между сервером и клиентом.
Что касается защиты вашего API от несанкционированных клиентов, вы можете проверить OAuth (см. Http://oauth.net/). Для OAuth существуют различные библиотеки Python. Например, https://github.com/simplegeo/python-oauth2. Единственное, что вы, возможно, захотите рассмотреть, - это разумная кривая обучения, когда дело доходит до реализации OAuth.
Вторая ссылка выше демонстрирует простой клиент OAuth, а также имеет пример кода для трехстороннего процесса аутентификации.
-
0Чтобы заставить работать OAuth, вам вообще не нужен SSL?john
-
0Нет, вам не нужен SSL как таковой. Это действительно зависит от того, что вы подразумеваете под защитой своего API. Как я уже упоминал, OAuth может помочь предотвратить доступ неавторизованных клиентов к вашему API. Однако без SSL связь между клиентом и сервером все равно будет незашифрованной. Может быть, вам нужна комбинация OAuth / SSL?stephenmuss
Вы можете обрабатывать сертификаты программно в iOS. Вы даже можете использовать самозаверяющие сертификаты, если ваш код подтверждает отпечаток. Я не могу вспомнить подробности с головы, но я знаю, что вы можете использовать didReceiveAuthenticationChallenge для этого.
В долгосрочной перспективе проще просто купить сертификат (cacert.org не будет делать).
Ещё вопросы
- 1Правильное использование метода repaint ()
- 0Получить имя класса документа
- 0добавить фоновое изображение на холст, а затем обрезать область
- 0Как заставить свиток двигаться вместе с диалогом в расширяющемся элементе
- 1Отладка mongoDB с помощью printjson в оболочке mongo
- 0Удаленное подключение к MySQL на EC2 без SSH-туннелирования
- 0Тайм-аут истек -> Невозможно подключиться к любому из указанных хостов MySQL
- 0Слайдер Jquery не работает на iPad отлично работает в браузере
- 1странная ошибка в java отражении (обработка)
- 1Добавление объекта в список
- 1Триггер SQL Server для параметра «По умолчанию (newsequentialid ())» не работает с «00000000-0000-0000-0000-000000000000»?
- 1Как условно установить деструктуризацию
- 1Повторение совпадения
- 0как создать представление, когда несколько групп, использующих Mysql
- 0Дизайн синхронизации потоков Qt
- 0STL - добавление значений к вектору, хранящемуся в карте STL
- 0Путаница с машинно-зависимыми значениями указателей
- 0Удалить директиву контроллера в HTML
- 0MySQL объединяет три таблицы
- 0Класс отката после функции щелчка
- 0Предоставление доступа нескольким пользователям к состоянию сеансов на AngularJs (JHipster Project)
- 0Как может angularjs контроллер доступа к функциям в non-angularjs iframe?
- 1как выполнять построчную операцию в пандах [дубликаты]
- 1Генерация случайных, но статических данных теста
- 0Может ли установка boost испортить мои программы?
- 0Angular 1.x, ES5 / ES6 и тестирование с Karma
- 0mmap и выравнивание страниц данных - это увеличивает производительность?
- 1Создать идентификатор группы для отметок времени
- 0Разница во времени между строками (MySQL)
- 1PrintWriter удаляет старое содержимое текстового файла при записи
- 0SQL Получить два столбца с Да или Нет
- 0Как отобразить значения массива PHP в Google Charts на основе JS?
- 1Наблюдаемый список Приведение / Конверсия
- 0Какой класс / тип не определен, и возможно ли расширить / добавить метод к нему?
- 0комплектация не работает
- 1Ограничить количество текста, выводимого с помощью Meteor Blaze
- 1Приложения Сценарии авторизации OAuth2 с использованием гэппи из HtmlService
- 0Как сравнить две даты?
- 1Как использовать Содержит с Guid?
- 0СБОЙ: ParseException строка 1:94 не соответствует вводу 'hdfs', ожидая StringLiteral рядом с 'location' в расположении раздела
- 1Asp.Net MVC, WebApi и правильный асинхронный подход
- 0Пользовательская директива для заполнения выпадающего списка
- 0Синтаксическая ошибка в примере Cython
- 0std :: bad_cast при использовании std :: basic_istringstream <unsigned short>
- 1Установка переменных среды в WinDbg
- 1В Joda-time 2.1 имеет значение long, переданное в DateTimeZOne.getStandardOffset?
- 1java.lang.NullPointerException - не может найти пустую переменную
- 1Есть ли способ сделать поля классов изменяемыми только методами класса? [Дубликат]
- 6Невозможно разместить запрошенные классы в одном файле dex, даже для более ранних коммитов, которые скомпилировались ранее
- 1Изменение состояния веб-приложения во время выполнения
