Безопасность между родным приложением iOS и сервером

Question

Я разрабатываю собственное приложение для iOS и имею серверную часть с сервером PHP с HTTPS.

Что у меня есть, так это то, что я могу войти в систему с логином/паролем для входа в систему, facebook или google. Сервер будет генерировать токен и отправить его пользователю. Пользователь будет использовать это для каждого вызова на сервер.

Но: - Сервер «парень» решил отправить новый токен каждый раз, когда совершает звонок. Я думаю, что это плохой дизайн по нескольким причинам. - Должна ли она истечь? Если да, то как я могу без проблем обновить токен для пользователя? Если нет, разве это не уязвимо?

Отличный дизайн? Я также хотел бы узнать, что вы, ребята, используете в качестве своего дизайна безопасности?

Cheers.

Answer 1

Для защиты маркера на устройстве, используя SSKeyChain вместо NSUserDefaults. Нет необходимости генерировать новый токен для каждого вызова. Для каждого входа/регистрации использование может генерировать токен.

Answer 2

Сохраните жетон в SSKeyChain. Используйте этот метод для повторного использования одного и того же токена.

- (NSString *)getUniqueDeviceIdentifierAsString 
{ 
    NSString *appName=[[[NSBundle mainBundle] infoDictionary] objectForKey:(NSString*)kCFBundleNameKey]; 

    NSString *strApplicationUUID = [SSKeychain passwordForService:appName account:@"incoding"]; 
    if (strApplicationUUID == nil) 
    { 
     strApplicationUUID = [[[UIDevice currentDevice] identifierForVendor] UUIDString]; 
     [SSKeychain setPassword:strApplicationUUID forService:appName account:@"incoding"]; 
    }  
    return strApplicationUUID; 
}