从 iPhone 到 API 的安全帐户注册
Secure account registration from iPhone to API
第一次在这里开发应用程序,如果这看起来很愚蠢,我们深表歉意。
我正在为 iOS 构建一个 login/registration 屏幕。我的计划是将 username/password 发送到 REST API 端点,然后检查它们是否存在于数据库中。
我的问题是,如何加密 phone 和端点之间的通道或加密发送的信息以防止中间人攻击。我怎样才能在不发送密钥的情况下在端点解密它?
谢谢!
使用带证书固定的 https,这将为您提供应用程序和服务器之间的安全加密通道,甚至任何查询字符串都是加密的。
不要在服务器上保存密码,而是保存哈希。哈希确实需要播种,PBKDF2 是一个很好的解决方案。保存随机生成的种子和密码。
当服务器收到用户和密码时,查找用户并获取加盐和散列密码。用盐散列接收到的值并比较两个散列值。服务器从不保存密码。
请参阅可靠的来源以获取确切的详细信息,显然这是在掩盖细节。如果有真正的价值受到保护,请聘请加密领域专家。
还必须在服务器上使用双因素身份验证。
第一次在这里开发应用程序,如果这看起来很愚蠢,我们深表歉意。 我正在为 iOS 构建一个 login/registration 屏幕。我的计划是将 username/password 发送到 REST API 端点,然后检查它们是否存在于数据库中。 我的问题是,如何加密 phone 和端点之间的通道或加密发送的信息以防止中间人攻击。我怎样才能在不发送密钥的情况下在端点解密它?
谢谢!
使用带证书固定的 https,这将为您提供应用程序和服务器之间的安全加密通道,甚至任何查询字符串都是加密的。
不要在服务器上保存密码,而是保存哈希。哈希确实需要播种,PBKDF2 是一个很好的解决方案。保存随机生成的种子和密码。
当服务器收到用户和密码时,查找用户并获取加盐和散列密码。用盐散列接收到的值并比较两个散列值。服务器从不保存密码。
请参阅可靠的来源以获取确切的详细信息,显然这是在掩盖细节。如果有真正的价值受到保护,请聘请加密领域专家。
还必须在服务器上使用双因素身份验证。