Seguridad para servicios REST consumidos desde Aplicaciones Móviles
408 views
Skip to first unread message
Geovalt
May 20, 2012, 5:54:33 PM5/20/12
to AltNet-Hispano
Actualmente estoy en un proyecto en el cual estamos desarrollando un
aplicación móvil en objective-c ( para iphone 4G), la aplicación móvil
consume servicios REST por internet ( servicios públicos en .NET ).
La aplicación envia datos sensibles del usuario en los servicios, por
lo que se requiere implementar un esquema de seguridad. Yo he
revisando en protocolo OAuth, especificamente "OAuth 2 -legged", y
veo que podría servirme bien ,pues maneja autenticación, la integridad
de los mensajes y la autorozación de los servicios con tokens. Sin
embargo, he leído que este protocolo es para aplicaciones Web, pues se
basa en ciertos secretos que se guardan en cada una de las partes
involucradas, y en una aplicación web es más seguro resguardar este
secreto, que en una aplicación móvil, ya que ésta última podría ser
decompilada y extraído el secreto( consumer_secret ) en la cual se
basa el mecanismo de seguridad. Por este último, acudo a esta
comunidad para compartir mi problema y preguntar si alguién puede
recomendarme la mejor forma de implementar la seguridad de mis
servicios REST.
José G. Altamirano
aplicación móvil en objective-c ( para iphone 4G), la aplicación móvil
consume servicios REST por internet ( servicios públicos en .NET ).
La aplicación envia datos sensibles del usuario en los servicios, por
lo que se requiere implementar un esquema de seguridad. Yo he
revisando en protocolo OAuth, especificamente "OAuth 2 -legged", y
veo que podría servirme bien ,pues maneja autenticación, la integridad
de los mensajes y la autorozación de los servicios con tokens. Sin
embargo, he leído que este protocolo es para aplicaciones Web, pues se
basa en ciertos secretos que se guardan en cada una de las partes
involucradas, y en una aplicación web es más seguro resguardar este
secreto, que en una aplicación móvil, ya que ésta última podría ser
decompilada y extraído el secreto( consumer_secret ) en la cual se
basa el mecanismo de seguridad. Por este último, acudo a esta
comunidad para compartir mi problema y preguntar si alguién puede
recomendarme la mejor forma de implementar la seguridad de mis
servicios REST.
José G. Altamirano
cibrax
May 21, 2012, 9:25:30 AM5/21/12
to AltNet-Hispano
Al menos que necesites compartir tus datos con otras aplicaciones a
traves de esos servicios, te recomiendo un esquema mas simple usando
basic authentication (usuario y password) sobre https.
Saludos
Pablo.
traves de esos servicios, te recomiendo un esquema mas simple usando
basic authentication (usuario y password) sobre https.
Saludos
Pablo.
Carlos Admirador
Apr 12, 2022, 5:07:28 PMApr 12
to AltNet-Hispano
código de ejemplo para
basic authentication (usuario y password) sobre https. ?
Reply all
Reply to author
Forward
0 new messages