保护移动应用程序与后端服务器之间的通信

Question

保护移动客户端应用程序和其他基于支持的服务器之间的数据通信的最佳实践是什么？在使用SSL证书的情况下，还有其他最佳实践吗？

Answer 1

最佳实践实际上取决于您具体在做什么。一般来说，最佳实践是使用HTTPS/SSL/TLS，并通过该安全连接发出其余的调用。SSL将验证服务器是否是他们声称的对象，并且可以选择客户端。它还将协商一个对称私钥，用于加密会话的其余部分。到目前为止，这是最有效、最安全、最可靠的最佳做法。

如果您没有SSL证书，并且仍然需要安全性，则可以使用预共享私钥。然而，维护/更新这个键很困难，如果不让自己受到攻击的话。此外，您还需要为每个客户端设置一个不同的密钥，这意味着您的服务器需要所有这些密钥。

Android和iOS已经有了很好的SSL实现。这些是你应该用的。