本机应用 login/session 安全问题
native app login/session security concerns
我目前正在首次使用 angular 2 和 NativeScript 构建本机应用程序。我关心的是身份验证和会话过程。我知道在 Web 上进行开发时会遇到 xss 攻击和中间人攻击等问题,但是在本机应用程序中通过远程服务器上的数据库对某人进行身份验证时需要注意的主要问题是什么?
Web 安全变体的本机等效项是什么?
在涉及网络流量(例如登录过程)。 Web 浏览器只是另一个客户端,在这方面与其他客户端没有区别。
这意味着无论是网站还是 NativeScript 应用程序,MITM 攻击都是 easy/hard 执行的。在设备上存储敏感密钥也是如此。例如。如果您的登录机制依赖于设备上的秘密,请将该秘密视为可以轻松从源代码中提取的内容,就好像它是网页上的 Javascript 文件一样。
只要您在您的应用中不eval编写代码,就没有特别需要注意的安全问题。
您可以将加密函数添加到 nativescript 应用:
我目前正在首次使用 angular 2 和 NativeScript 构建本机应用程序。我关心的是身份验证和会话过程。我知道在 Web 上进行开发时会遇到 xss 攻击和中间人攻击等问题,但是在本机应用程序中通过远程服务器上的数据库对某人进行身份验证时需要注意的主要问题是什么?
Web 安全变体的本机等效项是什么?
在涉及网络流量(例如登录过程)。 Web 浏览器只是另一个客户端,在这方面与其他客户端没有区别。
这意味着无论是网站还是 NativeScript 应用程序,MITM 攻击都是 easy/hard 执行的。在设备上存储敏感密钥也是如此。例如。如果您的登录机制依赖于设备上的秘密,请将该秘密视为可以轻松从源代码中提取的内容,就好像它是网页上的 Javascript 文件一样。
只要您在您的应用中不eval编写代码,就没有特别需要注意的安全问题。
您可以将加密函数添加到 nativescript 应用: