安全
在构建应用程序时,安全性常常被忽视。确实,构建完全无懈可击的软件是不可能的——我们还没有发明完全无法被攻破的锁(银行金库毕竟仍然会被闯入)。然而,遭受恶意攻击或暴露安全漏洞的可能性与你为保护应用程序免受此类事件所付出的努力成反比。尽管普通的挂锁可以被撬开,但它仍然比橱柜挂钩更难逾越!
在本指南中,你将学习存储敏感信息、身份验证、网络安全以及有助于保护应用程序安全的工具的最佳实践。这不是一份飞行前检查清单——它是一份可选方案目录,每个方案都将有助于进一步保护你的应用程序和用户。
存储敏感信息
切勿在你的应用程序代码中存储敏感的 API 密钥。任何包含在代码中的内容都可能被检查应用程序包的任何人以纯文本形式访问。像 react-native-dotenv 和 react-native-config 这样的工具非常适合添加特定于环境的变量,如 API 端点,但不应将它们与通常包含机密和 API 密钥的服务器端环境变量混淆。
如果你必须拥有 API 密钥或机密才能从你的应用程序访问某些资源,最安全的方法是在你的应用程序和资源之间构建一个编排层。这可以是一个无服务器函数(例如,使用 AWS Lambda 或 Google Cloud Functions),它可以使用所需的 API 密钥或机密转发请求。服务器端代码中的机密不能像应用程序代码中的机密一样被 API 消费者访问。
对于持久化用户数据,请根据其敏感性选择正确的存储类型。 随着你的应用程序的使用,你经常会发现需要在设备上保存数据,无论是为了支持应用程序离线使用,减少网络请求,还是为了在会话之间保存用户的访问令牌,这样他们每次使用应用程序时就不必重新进行身份验证。
持久化与非持久化 — 持久化数据写入设备的磁盘,这使得你的应用程序可以在应用程序启动后读取数据,而无需再次进行网络请求来获取数据或要求用户重新输入数据。但这也会使数据更容易受到攻击者的访问。非持久化数据从不写入磁盘——因此没有数据可供访问!
Async Storage
Async Storage 是一个由社区维护的 React Native 模块,它提供了一个异步、未加密的键值存储。Async Storage 不在应用程序之间共享:每个应用程序都有自己的沙盒环境,并且无法访问其他应用程序的数据。
| 在以下情况下使用 Async Storage... | 请勿将 Async Storage 用于... |
|---|---|
| 在应用程序运行之间持久化非敏感数据 | 令牌存储 |
| 持久化 Redux 状态 | 机密信息 |
| 持久化 GraphQL 状态 | |
| 存储全局应用程序范围的变量 |
开发者须知
- Web
Async Storage 相当于网页中的 Local Storage 的 React Native 版本。
安全存储
React Native 没有内置任何存储敏感数据的方法。然而,Android 和 iOS 平台都有现有的解决方案。
iOS - 钥匙串服务
钥匙串服务允许你安全地存储少量敏感的用户信息。这是存储证书、令牌、密码以及任何不属于 Async Storage 的敏感信息的理想场所。
Android - 安全共享偏好设置
Shared Preferences 是 Android 等效的持久化键值数据存储。Shared Preferences 中的数据默认不加密,但 Encrypted Shared Preferences 封装了 Android 的 Shared Preferences 类,并自动加密键和值。
Android - 密钥库
Android 密钥库系统允许你将加密密钥存储在容器中,从而更难以从设备中提取。
要使用 iOS 钥匙串服务或 Android 安全共享偏好设置,你可以自己编写一个桥接器,或者使用一个将它们封装并提供统一 API 的库,风险自负。一些可考虑的库:
请注意无意中存储或暴露敏感信息。 这可能会意外发生,例如将敏感表单数据保存在 Redux 状态中并将整个状态树持久化到 Async Storage。或者将用户令牌和个人信息发送到 Sentry 或 Crashlytics 等应用程序监控服务。
身份验证和深度链接
移动应用程序有一个网页中不存在的独特漏洞:深度链接。深度链接是一种将数据从外部源直接发送到原生应用程序的方式。深度链接看起来像 app://,其中 app 是你的应用程序方案,// 后面的任何内容都可以在内部用于处理请求。
例如,如果你正在构建一个电子商务应用程序,你可以使用 app://products/1 来深度链接到你的应用程序并打开产品 ID 为 1 的产品详情页面。你可以将这些视为网页上的 URL,但有一个关键的区别
深度链接不安全,绝不应在其中发送任何敏感信息。
深度链接不安全的原因是注册 URL 方案没有集中方法。作为应用程序开发者,你可以通过 在 Xcode 中配置 iOS 或 在 Android 上添加意图 来使用几乎任何你选择的 URL 方案。
没有什么能阻止恶意应用程序通过注册相同的方案来劫持你的深度链接,然后获取你的链接中包含的数据。发送 app://products/1 这样的内容无害,但发送令牌则存在安全隐患。
当操作系统在打开链接时有两个或更多应用程序可供选择时,Android 会向用户显示一个选择框,并让他们选择使用哪个应用程序打开链接。然而,在 iOS 上,操作系统会替你做出选择,因此用户会毫不知情。Apple 已采取措施解决较新 iOS 版本(iOS 11)中的此问题,他们实施了先到先得的原则,尽管此漏洞仍可能以不同方式被利用,你可以在此处阅读更多信息。使用通用链接将允许在 iOS 中安全地链接到你的应用程序中的内容。
OAuth2 和重定向
OAuth2 身份验证协议如今非常流行,被誉为最完整和最安全的协议。OpenID Connect 协议也基于此。在 OAuth2 中,用户需要通过第三方进行身份验证。成功完成后,该第三方会将验证码重定向回请求应用程序,该验证码可以交换为 JWT——一种JSON Web Token。JWT 是一种开放标准,用于在网络各方之间安全地传输信息。
在 Web 上,此重定向步骤是安全的,因为 Web 上的 URL 保证是唯一的。对于应用程序而言并非如此,因为如前所述,注册 URL 方案没有集中方法!为了解决此安全问题,必须以 PKCE 的形式添加额外的检查。
PKCE,发音为“Pixy”,代表密钥代码交换证明(Proof of Key Code Exchange),是 OAuth 2 规范的扩展。它涉及添加一个额外的安全层,用于验证身份验证和令牌交换请求是否来自同一客户端。PKCE 使用 SHA 256 加密哈希算法。SHA 256 为任何大小的文本或文件创建一个唯一的“签名”,但它具有以下特点:
- 无论输入文件大小如何,长度始终相同
- 保证相同的输入始终产生相同的结果
- 单向性(即,你无法逆向工程它以揭示原始输入)
现在你有两个值
- code_verifier - 客户端生成的一个大的随机字符串
- code_challenge - code_verifier 的 SHA 256 哈希值
在初始 /authorize 请求期间,客户端还会发送其保存在内存中的 code_verifier 的 code_challenge。在授权请求正确返回后,客户端还会发送用于生成 code_challenge 的 code_verifier。IDP 随后会计算 code_challenge,检查它是否与首次 /authorize 请求中设置的值匹配,并且只有在值匹配时才发送访问令牌。
这保证只有触发初始授权流程的应用程序才能成功将验证码交换为 JWT。因此,即使恶意应用程序获得验证码,它本身也无用。要查看实际操作,请查看此示例。
一个用于原生 OAuth 的库是 react-native-app-auth。React-native-app-auth 是一个用于与 OAuth2 提供商通信的 SDK。它封装了原生的 AppAuth-iOS 和 AppAuth-Android 库,并且可以支持 PKCE。
react-native-app-auth 仅在你的身份提供商支持 PKCE 的情况下才能支持 PKCE。
网络安全
你的 API 应始终使用 SSL 加密。SSL 加密可防止请求数据在离开服务器到达客户端之间以纯文本形式被读取。你会知道端点是安全的,因为它以 https:// 而不是 http:// 开头。
SSL Pinning
使用 HTTPS 端点仍可能使你的数据容易受到拦截。使用 HTTPS 时,客户端只有在服务器能提供由客户端预装的受信任证书颁发机构签署的有效证书时才会信任服务器。攻击者可以利用这一点,通过在用户设备上安装恶意根 CA 证书,这样客户端就会信任攻击者签署的所有证书。因此,仅依靠证书仍可能使你容易受到中间人攻击。
SSL Pinning 是一种可以在客户端使用的技术,以避免这种攻击。它的工作原理是在开发过程中将受信任证书列表嵌入(或固定)到客户端,以便只接受用受信任证书之一签署的请求,任何自签名证书都将不被接受。
使用 SSL pinning 时,应注意证书过期问题。证书每 1-2 年过期一次,过期后,需要在应用程序和服务器上进行更新。一旦服务器上的证书更新,任何嵌入旧证书的应用程序将停止工作。
总结
没有万无一失的安全处理方法,但通过有意识的努力和勤奋,可以显著降低应用程序发生安全漏洞的可能性。根据应用程序中存储数据的敏感性、用户数量以及黑客在获取账户访问权限后可能造成的损害,进行相应的安全投资。请记住:从未被请求的信息,访问起来要困难得多。