¿Hay alguna forma de asegurar una clave API en iOS?

Navega tus respuestas
0

Cuando un usuario inicia sesión en la aplicación, se le asigna una clave API única (la clave API de cada usuario será diferente). El usuario utiliza esta clave API para realizar solicitudes HTTP. Actualmente, la clave de API se guarda en una base de datos SQLite en iOS y se recupera de la base de datos cuando realiza solicitudes de API. Sin embargo, no estoy seguro de qué tan seguro es esto. En el backend, el usuario y el equipo de backend tienen la capacidad de eliminar la clave API y estamos utilizando SSL.

He pensado en los llaveros, pero me dijeron que realmente no protege mucho.

enlace

    
pregunta Curt Rand 13.09.2018 - 17:44
fuente

1 respuesta

1

La respuesta que vinculó, a partir de 2013, está desactualizada. Ahora puede tener claves privadas de llavero respaldadas por enclave seguras. Consulte Artículo de Apple sobre cómo almacenar claves privadas en Keychain.

Tendrás que volver a diseñar tu API para usar un esquema de clave pública, pero no hay forma de evitarlo, ya que cualquier clave fija de API requerirá que la clave esté en la memoria en algún momento.

    
respondido por el user71659 13.09.2018 - 18:28
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las consideraciones de diseño y seguridad para un sitio que se conecta a los propios dbs de sus usuarios? Usar el cifrado AES para generar MAC (y proporcionar autenticación / integridad)