从 SwiftUI 移动应用程序向登录 API 发送凭据的最安全方式是啥？ [关闭]

Posted 2023-02-19

【中文标题】从 SwiftUI 移动应用程序向登录 API 发送凭据的最安全方式是啥？ [关闭]

【英文标题】：Which is the most secure way to send credentials to a login API from a SwiftUI mobile app? [closed]从 SwiftUI 移动应用程序向登录 API 发送凭据的最安全方式是什么？ [关闭]

【发布时间】：2022-01-22 10:41:51

【问题描述】：

我希望你们一切都好。我想知道与 php 登录 API 通信的最安全方式是什么，我向其发送凭据并在成功登录的情况下获取 Json Web 令牌？另外，应用程序运行时我应该在哪里存储 JWT？我应该在正文还是标题中发送凭据？我应该加密它吗？

我在 Apple 文档中提到“ATS 要求 HTTP 连接使用 HTTPS”，所以我认为使用 URLSession 是一个很好且安全的解决方案。 我对 SwiftUI 很陌生，并试图了解将敏感数据传递给 Web API 的最安全方式。 提前感谢您的回答

【问题讨论】：

'在应用程序运行时我应该在哪里存储 JWT' 不应该在这个网站上被问到你不会得到一个明确的答案，因为它是基于意见的，这是这个中的几个问题之一基于意见的帖子。

【参考方案1】：

您应该使用 POST over HTTPS 并将凭据放入 POST 正文中。为了提高安全性，您可以进行质询-响应身份验证，其中 API 提供质询字符串，客户端将密码添加到其中，获取 SHA-256 或类似内容并将哈希发送回 API 以进行登录。但通常这不是必需的，HTTPS 被认为是安全的。

我会将 JWT 存储在浏览器本地存储中，但对此似乎意见不一。