本发明专利技术涉及一种iOS网络请求安全优化策略,包括如下步骤:app预设安全密钥key,使用预设安全密钥key、设备id及手机应用程序软件编号appid产生加密值apptoken,App登录操作完成后,获取加密值apptoken,调用protobuf协议数据交换格式工具库,设定网络请求使用https,对请求增加加密值apptoken,服务器接收请求后,通过加密值apptoken对请求进行辨认,以确保安全。本发明专利技术,对网络请求底层进行安全优化,采用多种方式确保网络请求在传输中的安全性,有效避免网络请求被截获、篡改或劫持,安全性更好,算法层次清晰,用户可选择程度更高,利用系统资源的合理利用。
【技术实现步骤摘要】
一种iOS网络请求安全优化策略
本专利技术涉及iOS网络请求
,具体说是一种iOS网络请求安全优化策略。
技术介绍
在网络世界中,安全是一个很重要的问题,以往的HTTP请求已经不能承担这个安全任务,抓包工具一抓,你的所有网络请求全都曝光。当然,你可能会采用加密算法来加密数据,但是这仍然不够。在开发应用的时候,数据的安全性至关重要。在移动端和服务器的通信过程中,有两种认证方式:token和session。Session:每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在数据库和内存中,而随着认证用户的增多,服务端的开销会明显增大。session存在以下缺陷:用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。还有一个风险就是CSRF(Cross-siterequestforgery)跨站请求伪造,CSRF通过伪装来自受信任用户的请求来利用受信任的网站。因为是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!token:基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。流程上是这样的:用户使用用户名密码来请求服务器服务器进行验证用户的信息服务器通过验证发送给用户一个token客户端存储token,并在每次请求时附送上这个token值服务端验证token值,并返回数据这个token必须要在每次请求时传递给服务端,它应该保存在请求头里,另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin:*。如今在移动app开发领域,网络安全问题已经提到日程。在iOS9中,苹果引入了HTTPS请求。其实HTTPS从最终的数据解析的角度,与http没有任何区别,HTTPS就是将http协议数据包放到ssl/tsl层加密后,在tcp/ip层组成的IP数据报去传输,以此保证传输数据的安全。大概流程:1.客户端向服务器端发起连接请求,上送信息有:支持协议版本、随机数1、加密方法、支持压缩算法;2.服务器回应,下发信息有:确认协议版本、随机数2、确认加密方法、服务器公钥证书;3.客户端再次上送信息:随机数3(采用公钥加密)、编码改变通知、客户端握手结束通知;4.服务器采用随机数1、随机数2和随机数3组成会话密钥,并回应:编码改变通知、服务器握手结束通知。以上四次握手中,完成了几件事情,第一,证书下发;第二,会话密钥;第三,确认双方参数(双方协议版本、加密方法等)。其中随机数1和随机数2是明文,随机数3是密文,之所以采用三个随机数来确定会话密钥,主要是三组随机数组成的随机数,确保了随机数的随机性,从而保证每次生成的会话密钥的安全性。如何提高iOS网络请求安全,是保证公司app、服务器、用户数据的安全、可靠、稳定的关键。
技术实现思路
针对现有技术中存在的缺陷,本专利技术的目的在于提供一种iOS网络请求安全优化策略,对网络请求底层进行安全优化,采用多种方式确保网络请求在传输中的安全性,有效避免网络请求被截获、篡改或劫持,安全性更好,算法层次清晰,用户可选择程度更高,利用系统资源的合理利用。为达到以上目的,本专利技术采取的技术方案是:一种iOS网络请求安全优化策略,其特征在于,包括如下步骤:app预设安全密钥key,使用预设安全密钥key、设备id及手机应用程序软件编号appid产生加密值apptoken,App登录操作完成后,获取加密值apptoken,调用protobuf协议数据交换格式工具库,设定网络请求使用https,对请求增加加密值apptoken,服务器接收请求后,通过加密值apptoken对请求进行辨认,以确保安全。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对每一个请求均增加加密值apptoken。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对必要请求才增加加密值apptoken,所述必要请求根据用户设置确定。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对每一个请求先进行信息加密处理,然后才增加加密值apptoken。在上述技术方案的基础上,对服务器的返回信息进行加密,确保数据传输的安全性。在上述技术方案的基础上,通过protobuf协议数据交换格式工具库,对网络请求进行处理,得到二进制格式的网络请求代码,以确保数据安全。本专利技术所述的iOS网络请求安全优化策略,对网络请求底层进行安全优化,采用多种方式确保网络请求在传输中的安全性,有效避免网络请求被截获、篡改或劫持,安全性更好,算法层次清晰,用户可选择程度更高,利用系统资源的合理利用。附图说明本专利技术有如下附图:图1本专利技术的流程图。具体实施方式以下结合附图对本专利技术作进一步详细说明。如图1所示,本专利技术所述的iOS网络请求安全优化策略,包括如下步骤:app预设安全密钥key,使用预设安全密钥key、设备id及手机应用程序软件编号appid产生加密值apptoken,App登录操作完成后,获取加密值apptoken,调用protobuf协议数据交换格式工具库(GoogleProtocolBuffers),设定网络请求使用https,对请求增加加密值apptoken,服务器接收请求后,通过加密值apptoken对请求进行辨认,以确保安全。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对每一个请求均增加加密值apptoken。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对必要请求才增加加密值apptoken,所述必要请求根据用户设置确定。在上述技术方案的基础上,对请求增加加密值apptoken,是指:对每一个请求先进行信息加密处理,然后才增加加密值apptoken。在上述技术方案的基础上,对服务器的返回信息进行加密,确保数据传输的安全性。在上述技术方案的基础上,通过protobuf协议数据交换格式工具库,对网络请求进行处理,得到二进制格式的网络请求代码,以确保数据安全。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。本文档来自技高网...
【技术保护点】
1.一种iOS网络请求安全优化策略,其特征在于,包括如下步骤:app预设安全密钥key,使用预设安全密钥key、设备id及手机应用程序软件编号appid产生加密值apptoken,App登录操作完成后,获取加密值apptoken,调用protobuf协议数据交换格式工具库,设定网络请求使用https,对请求增加加密值apptoken,服务器接收请求后,通过加密值apptoken对请求进行辨认,以确保安全。
【技术特征摘要】
1.一种iOS网络请求安全优化策略,其特征在于,包括如下步骤:app预设安全密钥key,使用预设安全密钥key、设备id及手机应用程序软件编号appid产生加密值apptoken,App登录操作完成后,获取加密值apptoken,调用protobuf协议数据交换格式工具库,设定网络请求使用https,对请求增加加密值apptoken,服务器接收请求后,通过加密值apptoken对请求进行辨认,以确保安全。2.如权利要求1所述的iOS网络请求安全优化策略,其特征在于:对请求增加加密值apptoken,是指:对每一个请求均增加加密值apptoken。3.如权利要求1所述的iOS网络请求...
【专利技术属性】
技术研发人员:邱扬,
申请(专利权)人:北京酷我科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。