安全
在构建应用时,安全常常被忽视。诚然,构建完全坚不可摧的软件是不可能的——我们尚未发明出完全坚不可摧的锁(毕竟,银行金库仍然会被攻破)。然而,遭受恶意攻击或暴露安全漏洞的可能性与您愿意投入保护您的应用程序免受任何此类意外事件的努力成反比。尽管普通的挂锁可以被撬开,但它仍然比橱柜挂钩更难通过!
在本指南中,您将学习存储敏感信息、身份验证、网络安全以及帮助您保护应用安全的工具的最佳实践。这不是一份飞行前检查清单——而是一份选项目录,其中的每一个选项都将有助于进一步保护您的应用和用户。
存储敏感信息
永远不要在您的应用代码中存储敏感的 API 密钥。任何包含在您的代码中的内容都可能被任何检查应用捆绑包的人以明文形式访问。像 react-native-dotenv 和 react-native-config 这样的工具非常适合添加特定于环境的变量,如 API 端点,但它们不应与服务器端环境变量混淆,后者通常可以包含密钥和 API 密钥。
如果您必须拥有 API 密钥或密钥才能从您的应用访问某些资源,那么最安全的处理方法是在您的应用和资源之间构建一个编排层。这可以是一个无服务器函数(例如,使用 AWS Lambda 或 Google Cloud Functions),它可以转发包含所需 API 密钥或密钥的请求。服务器端代码中的密钥无法像应用代码中的密钥那样被 API 使用者访问。
对于持久化的用户数据,请根据其敏感性选择正确的存储类型。 随着您的应用被使用,您通常会发现需要在设备上保存数据,无论是为了支持您的应用离线使用,减少网络请求,还是在会话之间保存用户的访问令牌,这样他们就不必在每次使用应用时都重新进行身份验证。
持久化与非持久化 — 持久化数据被写入设备的磁盘,这使得您的应用可以在应用启动之间读取数据,而无需进行另一次网络请求来获取数据或要求用户重新输入数据。但这也会使数据更容易受到攻击者的访问。非持久化数据永远不会写入磁盘——因此没有数据可以访问!
Async Storage
Async Storage 是一个社区维护的 React Native 模块,提供异步、未加密的键值存储。Async Storage 不在应用之间共享:每个应用都有自己的沙盒环境,并且无法访问来自其他应用的数据。
| 当...时,使用 async storage | 不要将 async storage 用于... |
|---|---|
| 跨应用运行持久化非敏感数据 | 令牌存储 |
| 持久化 Redux 状态 | 密钥 |
| 持久化 GraphQL 状态 | |
| 存储全局应用范围的变量 |
开发者笔记
- Web
Async Storage 是 Web 中 Local Storage 的 React Native 等效物
安全存储
React Native 没有捆绑任何存储敏感数据的方式。但是,对于 Android 和 iOS 平台,已经存在预先构建的解决方案。
iOS - Keychain Services
Keychain Services 允许您安全地为用户存储小块敏感信息。这是存储证书、令牌、密码和任何其他不属于 Async Storage 的敏感信息的理想场所。
Android - Secure Shared Preferences
Shared Preferences 是 Android 中持久键值数据存储的等效物。Shared Preferences 中的数据默认情况下未加密,但 Encrypted Shared Preferences 包装了 Android 的 Shared Preferences 类,并自动加密键和值。
Android - Keystore
Android Keystore 系统允许您将加密密钥存储在容器中,使其更难以从设备中提取。
为了使用 iOS Keychain 服务或 Android Secure Shared Preferences,您可以自己编写桥接器,也可以使用为您包装它们的库,并在您自己的风险下提供统一的 API。一些值得考虑的库
注意不要无意中存储或暴露敏感信息。 这可能会意外发生,例如将敏感表单数据保存在 redux 状态中,并将整个状态树持久化到 Async Storage 中。或者将用户令牌和个人信息发送到应用程序监控服务,如 Sentry 或 Crashlytics。
身份验证和深度链接
移动应用有一个 Web 中不存在的独特漏洞:深度链接。深度链接是一种从外部源将数据直接发送到原生应用程序的方式。深度链接看起来像 app://,其中 app 是您的应用方案,// 后面的任何内容都可以在内部用于处理请求。
例如,如果您正在构建一个电子商务应用,您可以使用 app://products/1 深度链接到您的应用并打开 ID 为 1 的产品的产品详情页。您可以将这些视为 Web 上的 URL,但有一个关键区别
深度链接不安全,您永远不应在其中发送任何敏感信息。
深度链接不安全的原因是因为没有集中的方法来注册 URL 方案。作为应用程序开发人员,您几乎可以使用任何您选择的 URL 方案,方法是在 iOS 的 Xcode 中配置它,或者在 Android 的 添加 Intent。
没有什么可以阻止恶意应用程序通过也注册到相同的方案来劫持您的深度链接,然后获得对您的链接包含的数据的访问权限。发送类似 app://products/1 的内容是无害的,但发送令牌是一个安全问题。
当操作系统有两个或多个应用程序可供选择以打开链接时,Android 将向用户显示一个歧义对话框,并要求他们选择要使用哪个应用程序打开链接。然而,在 iOS 上,操作系统会为您做出选择,因此用户将毫不知情。Apple 已在较新的 iOS 版本(iOS 11)中采取措施解决此问题,他们在其中制定了先到先得的原则,尽管这种漏洞仍然可以通过不同的方式利用,您可以在此处阅读更多相关信息。使用 通用链接 将允许在 iOS 中安全地链接到您应用中的内容。
OAuth2 和重定向
OAuth2 身份验证协议如今非常流行,被誉为最完整和最安全的协议。OpenID Connect 协议也基于此。在 OAuth2 中,用户被要求通过第三方进行身份验证。成功完成后,此第三方重定向回请求应用程序,并附带一个验证码,该验证码可以交换为 JWT — JSON Web Token。JWT 是一种开放标准,用于在 Web 上的各方之间安全地传输信息。
在 Web 上,此重定向步骤是安全的,因为 Web 上的 URL 保证是唯一的。对于应用程序而言,情况并非如此,因为如前所述,没有集中的方法来注册 URL 方案!为了解决此安全问题,必须以 PKCE 的形式添加额外的检查。
PKCE,发音为“Pixy”,代表 Proof of Key Code Exchange(密钥代码交换证明),是 OAuth 2 规范的扩展。这涉及添加额外的安全层,以验证身份验证和令牌交换请求是否来自同一客户端。PKCE 使用 SHA 256 加密哈希算法。SHA 256 为任何大小的文本或文件创建唯一的“签名”,但它是
- 始终与输入文件的大小无关
- 保证始终为相同的输入产生相同的结果
- 单向的(也就是说,您无法对其进行逆向工程以揭示原始输入)
现在您有两个值
- code_verifier - 客户端生成的大型随机字符串
- code_challenge - code_verifier 的 SHA 256
在初始的 /authorize 请求期间,客户端还会发送它保存在内存中的 code_verifier 的 code_challenge。在授权请求正确返回后,客户端还会发送用于生成 code_challenge 的 code_verifier。然后,IDP 将计算 code_challenge,查看它是否与在第一个 /authorize 请求中设置的内容匹配,并且仅在值匹配时才发送访问令牌。
这保证了只有触发初始授权流程的应用程序才能够成功地将验证码交换为 JWT。因此,即使恶意应用程序获得了对验证码的访问权限,它本身也是无用的。要查看实际效果,请查看此示例。
一个值得考虑的用于原生 OAuth 的库是 react-native-app-auth。React-native-app-auth 是一个用于与 OAuth2 提供程序通信的 SDK。它包装了原生 AppAuth-iOS 和 AppAuth-Android 库,并且可以支持 PKCE。
仅当您的身份提供程序支持 PKCE 时,React-native-app-auth 才能支持 PKCE。
网络安全
您的 API 应始终使用 SSL 加密。SSL 加密可防止请求的数据在离开服务器到到达客户端之间以明文形式被读取。您会知道端点是安全的,因为它以 https:// 而不是 http:// 开头。
SSL 证书绑定
使用 https 端点仍然可能使您的数据容易受到拦截。使用 https,客户端只有在服务器可以提供由预安装在客户端上的受信任证书颁发机构签名的有效证书时才会信任该服务器。攻击者可以通过在用户的设备上安装恶意的根 CA 证书来利用这一点,因此客户端会信任所有由攻击者签名的证书。因此,仅依赖证书仍然可能使您容易受到中间人攻击。
SSL 证书绑定 是一种可以在客户端使用的技术,以避免这种攻击。它的工作原理是在开发期间将受信任证书的列表嵌入(或绑定)到客户端,以便仅接受使用受信任证书之一签名的请求,并且任何自签名证书都不会被接受。
使用 SSL 证书绑定时,您应注意证书过期。证书每 1-2 年过期一次,当证书过期时,需要在应用和服务器中都更新它。一旦服务器上的证书已更新,任何嵌入了旧证书的应用都将停止工作。
总结
没有万无一失的方法来处理安全问题,但是通过有意识的努力和勤奋,可以显着降低应用程序中发生安全漏洞的可能性。根据应用程序中存储的数据的敏感性、用户数量以及黑客访问其帐户可能造成的损害,对安全性进行相应的投入。请记住:访问从未请求过的信息要困难得多。