Activa las notificaciones push PhoneGap Spain

Foro

Home Forums Frameworks y librerías Ionic Ionic + Slim ¿Seguridad?

This topic contains 3 replies, has 2 voices, and was last updated by Jose Jesus Perez Rivas Jose Jesus Perez Rivas 6 dias, 23 horas .

Viendo 4 respuestas - de la 1 a 4 (de 4 en total)
  • Ionic + Slim ¿Seguridad?

    Intervenciones
  • emiliano_ricci 
    Participant

    ¡Hola! Estoy desarrollando una aplicación Ionic que consume WebServices desarrollado en Slim Framework. Funciona perfecto, pero sin seguridad.

    Para aplicar seguridad, mi idea era:

    Tengo una página de inicio de sesión. Si el nombre de usuario y la contraseña son correctos, genero un token JWT y lo agrego en el almacenamiento local. Más adelante, cuando debería acceder a otro método API, envío el token en el encabezado de autorización. Está funcionando pero no está seguro porque el token es visible.

    ¿Alguna sugerencia para mejorar la seguridad en este contexto?

    Saludos
    Emiliano


    Jose Jesus Perez Rivas
    Jose Jesus Perez Rivas 
    Keymaster

    Hola @emiliano_ricci,

    Podrías generar el token desde el servidor y que este también contenga algún tipo de encriptación (podrías usar tu certificado ssl de tu server), tendrás que tener en cuenta que debe poder ser desencriptada para que luego puedas compararla de nuevo en el server.

    También tener en cuenta que deberá de caducar de forma automática cada x tiempo.

    Saludos!


    CEO y Director de desarrollo en Cero y Uno Desarrollamos Aplicaciones – ¿tienes algún proyecto? ¡trabajemos juntos! contacto@ceroyuno.eshttp://www.ceroyuno.es Fundador de PhoneGap Spain http://www.phonegapspain.com Twitter: https://twitter.com/JoseJ_PR


    emiliano_ricci 
    Participant

    Gracias José por tu respuesta. El token lo genero en el servidor pero luego está visible en el local storage. Además, luego debo pasarlo por GET o POST y también está visible. Entonces, si alguien lo toma, puede acceder a un servicio al cual no debería…


    Jose Jesus Perez Rivas
    Jose Jesus Perez Rivas 
    Keymaster

    Hola @emiliano_ricci,

    Como te he comentado dicho token lo puedes encriptar con un propio algoritmo que tu desarrolles y que luego puedas desencriptarlo en la parte servidor. Además de esto, tendrás que revisar que tu app no tenga el debug activado y no se pueda ver por consola en la versión publicada lo que ocurre en cada momento.

    Saludos!


    CEO y Director de desarrollo en Cero y Uno Desarrollamos Aplicaciones – ¿tienes algún proyecto? ¡trabajemos juntos! contacto@ceroyuno.eshttp://www.ceroyuno.es Fundador de PhoneGap Spain http://www.phonegapspain.com Twitter: https://twitter.com/JoseJ_PR


Viendo 4 respuestas - de la 1 a 4 (de 4 en total)

You must be logged in to reply to this topic.