将信用卡号码从iOS发送到REST API时的最佳安全实践
我的应用程序必须与API交stream,我们可以轻松地发送和获取数据。
现在,我们将所有内容作为纯文本作为URL的参数发送。
我绝不是一个安全专家,但常识告诉我,信用卡号码应在传输过程中encryption。
服务器可以担心存储,我唯一担心的是数据的实际传输。
从我的阅读中我发现,我需要一个私钥encryptionalgorithm,因为它需要被服务器取消以获得实际的数据。
在CommonCrypto框架中已经实现了一个好的方法吗?
你会推荐什么?
我正在寻找这样做,使用iOS,我相信安全框架有工具来完成这个挑战,我只是不知道在哪里看什么或寻找什么。
谢谢!
你绝对不应该使用URL参数的信用卡信息。 networking上的其他客户端访问的URL可以很容易地被networking上的其他计算机嗅探和logging(当然有某些限制)。
您应该使用POST参数提交信息,以便它们包含在消息的正文中,而不是URL本身。 然后,只要您提交到HTTPS页面,数据就应该是安全的,无需先encryption(在这种情况下,邮件本身使用SSLencryption)。