如何保护 .NET Web 服务以供 iPhone 应用程序使用？

Question

我有一个用 .NET 编写的 Web 服务，它为 iPhone 应用程序提供数据。它还将允许应用程序进行“预订”。

目前它都是公司网络内部的，但显然当 iPhone 应用程序发布时，我需要确保 Web 服务在外部可用。

我将如何保护 Web 服务？

我正在研究两个方面：

• 访问网络服务的身份验证
• 保护正在传输的数据

我并不担心数据来回传递，因为无论如何它都可以在应用程序中查看（这将是免费的）。对我而言，关键问题是阻止用户访问 Web 服务并自行进行预订。

目前我正在考虑对来回传递的 XML 数据中的任何字符串进行加密，这样只有客户端才能有效地使用 Web 服务，从而避免身份验证的需要并为数据提供保护。这是我见过的唯一型号，但我认为 iPhone 甚至网络服务的开销都会导致用户体验不佳。

Answer 1

只需使用 https 进行 Web 服务调用。然后，您可以使用您想要的任何身份验证，并且可能会收到一个令牌，该令牌将传递给后续的 Web 服务调用。然后，您的身份验证详细信息和您的数据将受到保护。会有一些开销，但应该不会很大。

Answer 2

https 是一个简单的答案，但你不应该只为服务器提供自己的 证书，但给每个移动设备一个。这允许相互身份验证。

如果您不能这样做，您可以使用 AES 对来自 iphone 的消息进行签名 到服务器，使用只有服务器和 iPhone 知道的共享密钥，但是 从未明文传输：

签名 = AES（数据 + iphone udid + 共享密钥） （或类似的东西）

您应该选择一种分发秘密的方式 这允许您验证另一部分。

Answer 3

我更喜欢加密（Base64/AES）+ HTTPS。 oData,oAuth 认证也可以使用。