安全和validation使用REST的iPhone应用程序的最佳安全框架?
我构建了一个iPhone应用程序,它通过REST Web服务(Jersey)通过JSON对象将数据传输到Java中间层后端…
问题(S):
(1)确保此iPhone应用程序的登录/身份validation的最佳方法是什么?
(2)是否有用于获取此类function的开源或商业框架?
到目前为止,我遇到了OAuth,SAML和REST身份服务
(3)这个框架是否需要SSL?
(4)它是否validation客户端(而不仅仅是用户)?
(5)我是以错误的方式来做这件事的吗? 我应该使用每个REST调用所需的加密令牌并安装SSL吗?
如果有人理解我的困境并且可以提供帮助,我将非常感激…我知道这可以在iPhone应用程序上以某种方式完成,因为美国银行和亚马逊拥有相同类型的登录function和安全性。
编码愉快,
麦克风
我在6月初在JavaOne上做了一个演示,它在服务器上使用了Jersey,OAuth(通过OpenSSO )和JavaFX客户端。 代码有点实验性,但它可能对您有用 – 请参阅此博客条目 – 尤其是注释#2。 还有一个video可以解释它的高级别 。 我使用XML,但是,由于OAuth在HTTP级别工作,它对JSON同样有效。
顺便说一句 – 有一个Objective C OAuth Consumer实现 – 我没有使用它,但是Pownce做到了 。
许多SSO方案依赖于在iPhone应用程序中可能存在问题的url重定向。 Pownce人尝试在他们的应用程序中使用OAuth,显然这种体验让用户感到困惑。 经过一些研究后,我决定采用基于安全WSSE用户名令牌的方法,与Atom应用程序中使用的方法相同。 请享用。