您当前所在的位置:首页 / 新闻中心 / 行业资讯
新闻中心
行业资讯
官方动态
知识百科
产品技术

移动APP开发指南 - 第二部分

发表于:2018-07-30



用户期望移动APP成为一个完美的平台,具有安全性,用户友好界面和无误的性能。提供一个具有所有先决条件的此类文章需要遵守一些准则。

移动APP开发

在我们之前的文章 - 移动APP开发指南中-第一部分 - 我们参与了数据存储,服务器端控制和传输层保护等领域,以确保移动APP开发阶段的安全性。

在本文章中,我们将尝试描述更多此类元素,以便考虑用于移动APP开发这些包括:

  • 授权和身份验证

  • 加密

  • 数据泄漏

授权和身份验证

移动APP是浏览器上Web门户的真实反映,具有所有功能,功能和内容。因此,授权和身份验证也应该是它。

以下是一些快速提示:

  • 开发必须遵循确保充分服务器端控制的主要原则。为了成功进行身份验证,必须在服务器端验证详细信息,并且必须在移动设备上成功验证APP数据。

  • 在需要客户端存储数据的情况下,必须使用加密密钥对数据进行加密,并且从用户登录详细信息中获取该密钥。

  • 移动APP不应将用户密码存储在设备上,即使在实现记忆我或持久身份验证功能的情况下也是如此。必须使用甚至可以撤销的特定于设备的身份验证令牌,以确保APP可以消除未经授权访问的可能性,特别是在被盗时。

  • 持久性身份验证必须实现为可选功能,而不是默认功能。此外,必须避免使用设备标识符或地理位置和4位密码的认证。

  • 移动APP的功能各不相同,有些只能在您上线时操作,有些则可以在离线时使用。如果存在脱机使用,则需要在本地进行身份验证。因此,必须检查用代码识别未授权访问的本地完整性检查。

加密

密码学和数据安全性相互补充。不幸的是,数据加密的概念仍然是一个行话,一些开发人员难以理解。因此,他们使用的加密并不总是能达到目的。结果,开发人员使用弱算法或强加密以不安全的方式实现。这就像在储物柜中停放贵重物品并将钥匙保持在靠近它的位置,任何人都可以找到。这没有任何好处。

我们遇到了使用简单编码方法开发的某些移动APP,以保护敏感信息。这使数据安全易受攻击。客户端和服务器端之间的分离键可以改变游戏规则以避免此类威胁。

在开发人员端,现代算法被域专业人士认为是强大的,加上最先进的加密API可能是出路。虽然测试人员必须确保APP信息保护方法,同时评估安全问题。对人工分析,渗透测试和威胁建模的投资也可以达到目的。

数据泄漏

品牌和企业期待映射个人详细信息,以定制和个性化营销优惠。设计用于收集和定位消费者的工具是一组工作,确保已整理的数据是另一个并且仍然至关重要。

在医疗保健APP中,数据安全性的必要性进一步增加了访问分析和患者详细信息的可能性,这可能会导致服务提供商违反HIPAA合规性。

在选择分析提供商和实施广告活动时要谨慎。观察数据移动可以为攻击者提供数据和记录。

实施安全内容管理解决方案还可确保检查数据泄漏。

必须完成编码,以确保不会通过URL缓存,键盘缓存,复制/粘贴缓冲区缓存,日志记录和HTML5数据存储发生数据泄漏实例。此外,在使用分析工具时,必须注意不要与第三方共享用户的关键数据。

结论

在开发阶段使用这些技巧可以突显安全因素,因为必须支持移动APP以避免攻击。

设计一个具有用户友好界面和引人注目的页面的APP就像锦上添花。然而,这是徒劳的,除非采用强有力的措施来保护用户的数据。就像合适的温度会影响你的蛋糕一样,正确的安全措施会影响你的移动APP体验。