我使用 Parse 创建了一个 iOS 应用程序,其中使用的是从 Parse.com 网站下载的 iOS SDK。
为了创建此类应用程序,ApplicationID 和 ClientID 密钥都嵌入在 iOS 应用程序中,并在使用应用程序时从应用程序发送到服务器。这实质上使 ApplicationID 和 ClientID 清晰可见,因此任何用户都可以编写一个小程序,该程序将重复调用我的应用程序的各种 Parse api。
我已遵循解析教程中的所有安全建议,并且所有数据都有适当的角色和 ACL。
然而,一个不熟练的用户只需每秒调用我的解析应用程序的登录 api 超过 30 次,就可以关闭我的整个应用程序。
我错过了什么还是这是一个FATAL使用 Parse.com 作为 iOS 应用程序的后端存在缺陷吗?
有人有解决这个问题的办法吗?
您始终可以通过申请来大幅减少机会
默默无闻的安全性;-)
您可以加密您的密钥并将解密函数放在 JavaScript 中。您可以通过将该函数隐藏在没人会喜欢的大型令人讨厌的脚本中间,然后缩小您的 JavaScript(无论如何您都应该这样做)来进一步使其更难找到。我确信有可能变得“更有创意”并达到一些合理的完美:-)
然而,原则上,有足够动机的黑客仍然有可能对您的程序进行逆向工程并获取密钥。不过,你仍然可以使其变得足够困难,因此黑客可能会寻找更容易的目标,据我们所知,其中有很多;-)
另请参阅此处 https://stackoverflow.com/a/29865192/1614973以获得更多想法。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)