validation从移动（iPhone）应用程序到ASP.Net Web API的请求（请在我的devise中提供反馈）

我正在devise一个网站，将有一个手机伴侣（初始只iPhone）。 该网站将是一个ASP.Net MVC 3应用程序。 我也将有一个ASP.Net Web API网站（MVC 4）公开服务的iPhone应用程序。 iPhone应用程序将具有自己的表单来捕获用户的用户名和密码，并将其发送到JSON头中的Web API。

我想从一开始就考虑安全问题，而不是一个想法。 我不是一个安全专家。 我已经做了大量的研究，看看其他人如何从Web服务处理移动应用程序客户端的身份validation。 我想我已经提出了一个体面的解决scheme，不涉及到第三方oAuths挂钩。

我将非常感谢您提供的任何意见，build议，批评和一般的WTFs。 🙂

我最大的担忧是：

1. 确保对Web API的调用获得授权
2. 最大限度地减less重播攻击的风险（因此下面调用中的时间戳）

iPhone应用程序将如此开发：
两个string被硬编码到iPhone应用程序（每个用户的值相同）：

1. 应用程序ID
   这是一个string，用于识别访问Web API（iPhone，Android，Windows Phone等）的客户端types。
2. 应用程序的散列盐
   这是一个string，用于对用户不可知的请求进行哈希散列。

两个string存储在iPhone应用程序的本地数据库中（每个用户独特的值）：

1. API用户访问令牌
   这是通过Web API在成功validation后提供给客户端的string（令牌），并允许客户端访问Web API，而无需在每个请求中发送用户名和密码。
2. 用户的哈希盐
   这是一个用于对已build立的用户帐户进行请求的哈希值的string。

iPhone将通过以下方式调用Web API：

API方法：创build帐户
客户端发送：

• 新帐户资料（使用者名称，密码，名字，姓氏等）
• 应用程序ID
• UTC时间戳
• UTC时间戳记哈希应用程序的哈希盐

API返回：

• 新用户的哈希盐

  这里的想法是，当创build一个帐户时，我可以使用应用程序的硬编码盐，因为如果盐（通过反编译或其他方式）出来，这不是一个巨大的安全风险。

  但对于访问和修改用户数据的方法，我将使用仅由该用户拥有的盐，以便攻击者不能使用它来模拟其他用户。

API方法：获取帐户
（用于在网站上创build但尚未在iPhone上同步的帐户获取用户哈希值。当用户尝试loginiPhone时，iPhone会检测到没有该用户名的logging。）

客户端发送：

• 用户名
• 密码（使用应用程序的散列盐进行散列）
• 应用程序ID
• UTC时间戳
• UTC时间戳记哈希应用程序的哈希盐

API返回：

• 现有用户的散列盐

API方法：login（validation）
客户端发送：

• 用户名
• 密码（使用用户散列盐进行散列）
• 应用程序ID
• UTC时间戳
• UTC时间戳+用户散列盐盐渍的应用程序ID

API返回：

• API用户访问令牌

API方法：任何命令（即创buildpost，更新configuration文件，获取消息等…）
客户端发送：

• 命令数据
• API用户访问令牌
• 应用程序ID
• UTC时间戳
• UTC时间戳记+应用程序ID + API用户访问令牌用用户的哈希盐进行盐渍

• 学说Symfony应用程序中的实体和业务逻辑
• 什么额外的轮换是需要从自上而下删除2-3-4左红黑树？

• 将string拆分为多个分隔符
• 什么是基于令牌的authentication？
• Google刷新令牌是否过期？
• 服务器端处理JWT令牌的最佳实践
• 在C中嵌套strtok函数问题
• 使用Devise令牌login，是内置的？
• Iphone设备令牌 – NSData或NSString
• 警告：在API开发的情况下，无法validationCSRF令牌的真实性
• 用于Java的JWT（JSON Web令牌）库