मुझे समुद्री डाकू इत्यादि के बारे में बहुत कुछ नहीं लगता है, लेकिन मैं यह सुनिश्चित करना चाहता हूं कि बैकएंड (रेल आधारित) स्वचालित सेवाओं के लिए खुला नहीं है जो इसे डॉस कर सकता है आदि। इसलिए मैं बस यह सुनिश्चित करना चाहता हूं कि सभी तक पहुंच बैकएंड (जो डेटा प्राप्त करने और पुट करने के लिए कुछ आरईएसटी प्रश्न होंगे) एक वैध आईफोन एप्लिकेशन के माध्यम से होगा, और मशीन पर चल रही कुछ स्क्रिप्ट नहीं होगी।एक सर्वर बैकएंड के साथ आईफोन ऐप - यह सुनिश्चित करने के लिए कि सभी एक्सेस केवल आईफोन ऐप से हैं?
मैं खातों के उपयोग से बचना चाहता हूं ताकि उपयोगकर्ता का अनुभव निर्बाध हो।
मेरी पहली इरादा एक साथ UDID और एक गुप्त हैश, और कहा कि (और UDID) सर्वर के लिए एक HTTPS कनेक्शन पर प्रदान करना है। यह या तो एक प्रमाणीकृत सत्र को बनाने या त्रुटि को वापस करने की अनुमति देगा।
यदि बचाया गया है, तो एक हमलावर हैश ले सकता है और इसे फिर से चला सकता है, जिससे इस योजना को हमलों को फिर से चलाने के लिए खुला छोड़ दिया जा सकता है। हालांकि क्या HTTPS कनेक्शन मुझे सहेजने के खिलाफ नहीं बचा सकता है?
धन्यवाद!
मुझे लगता है कि यह शायद मैं जिस तरह से जाऊंगा। मैंने टाइमस्टैम्प (या कम से कम वर्तमान तारीख) को भी हैशिंग नहीं माना था, और मुझे यह पसंद है कि यह रीप्ले हमलों को रोक देगा। यदि कोई मध्यरात्रि से आधी आधे सेकेंड का अनुरोध सबमिट करता है तो हैश मिस्चैच के साथ कुछ मामूली हिचकी हो सकती है, और सर्वर अगले दिन हैश के लिए दिनांक मान लेने के लिए चुनता है, लेकिन जब तक मैं तिथियों की जांच करता हूं तो यह होना चाहिए अच्छा। मुझे लगता है कि यह विकल्पों के एक अच्छे मिश्रण का प्रतिनिधित्व करता है। मुझे एक एसएसएल प्रमाण पत्र मिलेगा, इसलिए मुझे सहेजा नहीं जा सकता है, और डेटा के लिए समय और रहस्य के साथ हैश का उपयोग करें। धन्यवाद! – Nex