移动应用和LAMP之间的安全交易

Question

我有一个移动应用程序（iPhone和Android），允许用户登录他的帐户，更改prefs等...

我想添加一个新功能，用户可以通过他的设备购买产品或升级他的服务。一切都将从设备运行，我想让用户使每个事务同步到Web服务器。

我的服务器上有HTTPS设置。我想知道是否：

1. 这是一个好习惯吗？或者我应该告诉用户使用我们的网站
2. 如果“是”，那么HTTPS是否适合处理这些交易？

谢谢

Answer 1

是的，这是一个很好的做法。

首先始终使用HTTPS。

确保您的证书有效且值得信赖。

for iphone：

• iPhone: HTTPS client cert authentication
• https://discussions.apple.com/thread/1652697?start=0&tstart=0

for android：

• Trusting all certificates using HttpClient over HTTPS
• Accepting a certificate for HTTPs on Android

秒加密您的数据。

任何加密算法或rsa加密都可以解决问题。

使用GET / POST传递数据不应以纯文本形式发送，例如：？user = myuser＆amp; pass = mypass。而是使用类似的东西？h28JduDak30fT1pfgmSnShNms762023lflsfdj2h4J。然后在你的服务器上，你只需要使用只有你手机的盐解密它，而服务器就知道了。

iphone的示例代码：

NSString *encrypteddata =[NSString stringWithFormat:@"key=enryptedstring"];
NSData *data = [encrypteddata dataUsingEncoding:NSUTF8StringEncoding allowLossyConversion:YES];
NSString *datalen = [NSString stringWithFormat:@"%d", [data length]];
NSMutableURLRequest *request = [[[NSMutableURLRequest alloc] init] autorelease];
[request setURL:[NSURL URLWithString:@"https://yourserver:443/loginscript"]]; //:443 very importantz
[request setHTTPMethod:@"POST"];
[request setValue:datalen forHTTPHeaderField:@"Content-Length"];
[request setValue:@"application/x-www-form-urlencoded charset=utf-8" forHTTPHeaderField:@"Content-Type"];
[request setHTTPBody:data];

类似于Android的想法

然后在您的服务器上，您可以解密$ _POST ['key']并执行您的登录逻辑（或其他）

这里有更多可以帮助您的资源：

• iPhone + sending data from iPhone to server as XML format
• iPhone: HTTPS client cert authentication

注意： 对于Android，你应该看一下HTTPComponents

了解更多

• http://www.javamex.com/tutorials/cryptography/rsa_encryption.shtml
• http://www.edumobile.org/iphone/iphone-programming-tutorials/how-to-receive-data-from-the-server-in-iphone/