是否可以通过一些非私有(private) API 访问用于签署应用程序的证书,以便加密数据以与服务器交换?
事实上,我有(例如)一个网络服务,我只希望我自己的 iOS 应用程序可以访问它。我想出了使用证书对代码进行签名的想法,以使用客户端应用程序上的证书私钥加密某些内容(例如常量数据),并使用证书公钥在服务器上对其进行解密(以提取所述常量数据) 检查应用程序身份。
由于每个 iOS 应用程序都使用唯一证书进行签名,因此可以通过这种方式识别每个应用程序。
这种方法正确且可行吗?
是否有任何API可以访问应用证书并进行此类计算?
感谢您的帮助,
您描述的一般过程(使用客户端的私钥在服务器上使用公钥进行身份验证)是正确的。请注意,它不是加密过程,而是数字签名。但是,访问应用程序签名证书是不够的,因为签名私钥没有嵌入到应用程序中。此外,此证书的目的是代码签名,将其用于客户端-服务器通信安全等其他目的并不是一个好习惯。
解决方案可能是在您的应用资源中包含专用证书/私钥,并使用此证书通过客户端身份验证打开 HTTPS 连接。缺点是越狱设备上的攻击者可以对您的应用进行逆向工程并提取 secret key ,以便针对授权应用之外的服务器进行身份验证。
关于在 iOS 应用中存储/分发 secret 数据的 stackoverflow 上有很多讨论,各有利弊(例如 here 或 here)。
关于ios - 从 iOS 应用程序访问(开发或分发)证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20323022/
欢迎光临 OStack程序员社区-中国程序员成长平台 (https://ostack.cn/) | Powered by Discuz! X3.4 |