Я создаю безопасное приложение для нашего exec's ... вот моя настройка. Это несколько Macgyver подход, но медведь со мной :)iPhone - аутентификация через Интернет
- Есть только 10 пользователей, у меня есть запись каждого uniqueIdentifier на моем сервере в таблице базы данных. (Это внутренне только для наших пользователей, поэтому я не верю, что нарушаю правило регистрации публичного пользователя, упомянутое в документах API)
- Через дистрибутив adhoc я устанавливаю свое приложение на все 10 устройств
- Мое приложение просто состоящий из UIWebView.
- Когда приложение запускается, он отправляет POST на наш сайт https, отправляя уникальный идентификатор. (Спасибо this answer)
- Страница сервера, которая получает POST, проверяет уникальный идентификатор и, если найден, устанавливает куки-файл сеанса, который автоматически регистрирует их на сайте.
- Таким образом, пользователю не нужно вводить свои учетные данные каждый раз.
Так что, как вы думаете, есть ли дыра в безопасности?
Благодаря
Спасибо, Алекс, я проверю документ KeyChain. Да, я подумал, были ли украдены их телефоны. У большинства пользователей есть возможность запросить их код доступа каждые 4 часа. На ваш второй пункт: я мог бы сохранить версию своего уникального идентификатора md5. –
. Возможно, вы захотите поговорить с веб-приложением и/или специалистом по безопасности iPhone, потому что то, что вы делаете, для меня немного отрывочно. Например, md5crack будет одним из способов восстановления ключей: http://md5crack.com/ Хотя работа, которую вы хотите сделать, может зависеть от того, насколько безопасно ваше приложение. –