Q&A
API をどのくらい秘密にしたいかによりますが、単に他のアプリやサービスに使われたくない程度なら、それで充分では。(plist や文字列リテラルに平文で書くのは不用心ですが、どんなに暗号化してもユーザーの手元でアプリが動く以上、解析は可能です。)
バージョンアップ時に変更することにして、認証に失敗したら「アプリをアップデートしてね」というメッセージを出すようにしておくと良いかも。
前提
現在SwiftでiOSアプリを開発しています。
同時に、そのiOSアプリから呼び出すREST APIも開発しています。
APIコールする際の認証方式は、Basic認証を考えています。
質問
開発中のiOSアプリは、ログイン機能を持たないものになるのですが、
Basic認証で使うユーザ名・パスワードを、ハードコーディングしても良いのでしょうか?
ログイン機能を持つアプリならば、ログイン画面でユーザ名とパスワードを入力してもらえばよいですが、
そういうわけにもいかず、、、
ユーザ名とパスワードをハードコーディングする以外の対処法を考えたのですが、思いつかずでした。
そもそも、ログイン機能を持たないアプリではBasic認証を用いない方が良いのでしょうか?
その点もご教授いただけたら幸いです。
「sql」、「select」、「http」のような言葉をログイン・パスワードとして使用禁止とするのはどうでしょうか?
>hoshi-takanori
ご回答ありがとうございます!平文で書くので済ませようと思います。
ちなみに、仰られている「解析」は、
①リバースエンジニアリングによるソースコードの解読
②https通信の傍受→ユーザ名・パスワードの解読
あたりが想定できると思ったのですが、②はともかくとして、
①に関してiOSアプリは容易にリバースエンジニアリングできるものなのでしょうか?
ご存知だったらで構いません!
あなたの回答
tips
プレビュー
