我有一個用.NET編寫的Web服務,它爲iPhone應用程序提供數據。它也將允許應用程序進行「預約」。如何保護.NET Web服務以供iPhone應用程序使用?
目前,這一切都是企業網絡的內部,但顯然當iPhone應用程序發佈時,我需要確保Web服務在外部可用。
我將如何去保護Web服務?
有兩個方面我期待到:
- 身份驗證訪問Web服務
- 保護的數據被轉移
我沒有那麼困擾有關數據被反覆傳遞,因爲無論如何它都可以在應用程序中看到(這是免費的)。我面臨的關鍵問題是阻止用戶訪問Web服務並自行進行預訂。
目前我正在考慮加密來回傳遞的XML數據中的任何字符串,以便只有客戶端可以有效地使用Web服務,以避免身份驗證需求併爲數據提供保護。這是我見過的唯一模型,但我認爲iPhone和甚至Web服務的開銷會導致糟糕的用戶體驗。
謝謝dwery,除了使用UDID來計算每小時的保留數外,我還沒有考慮過相互認證。我將致力於創建簽名並使用AES以及https。如果我想出一個解決方案,我不會爲這個問題回過頭來擔憂,我會爲此歡呼 – 2010-04-26 08:50:16