Rails アプリケーションに対して認証する iOS アプリケーションがあります。初めて認証するときは、ユーザー名とパスワードを送信する必要があり、それに対して Rails アプリケーションは、iOS アプリケーションが以降の通信で認証に使用できるトークンを返します。
それらの間でやり取りされる情報は、ユーザーの電子メール アドレスやその他の些細な情報で構成されていますが、財務情報などの機密性の高い情報は含まれていません。これらの通信を保護する方法が必要です。
この保護を追加する最も簡単な方法は何ですか?
HTTPS は、ネットワーク上をそのまま通過するため、通信を保護する簡単な方法です。その後の通信でトークンを再利用するには、oAuth を使用できます。Facebook が iOS SDK で採用したアプローチを採用することをお勧めします。ログインページを UIWebView (HTTPS) に配置し、後続の呼び出しのために oAuth トークンを返します。
編集:SSLは「テーブルから外れている」ように見えるので、トークンを使用する代わりに、基本認証で認証し、各呼び出しを再認証してみませんか。
Webサーバーの信頼できる有効な証明書を取得し、SSL/HTTPSを使用します。それはほとんどの人がすることです。
独自の暗号化方式を実装することはお勧めしません。
ローカルでのSSLに関する問題は、このチュートリアルを思い出させてくれました
RyanがSSLを強制したとき、彼はSSLが開発環境(ローカル)では機能せず、本番環境とテストでのみ機能すると述べました。この問題は、6分前後で議論されています。sslを使用してアプリをデプロイすると、機能するようです。これは、Omniauthおよび外部プロバイダーを使用する場合にも当てはまります。ローカルでは機能しませんが、デプロイすると機能します。