本附录介绍了安全Kapsel应用程序应考虑的一些主题。

跨站点请求伪造（CSRF）在应用程序之间共享凭据从公司防火墙外部访问SMP 3.0服务器或在蜂窝网络上使用X.509证书提供程序使用客户端证书注册要考虑的问题发布前SiteMinderAdditional Security Topics in Part 1

CSRF是一种攻击，它迫使最终用户在其当前已通过身份验证的web应用程序上执行不需要的操作。有关更多详细信息，请参阅跨站点请求伪造（CSRF）。

SAP Netweaver Gateway系统通过要求所有修改请求的标头中都包含一个X-CSRF-Token。该值是从GET请求返回的。有关更多详细信息，请参阅跨站点请求伪造保护。包括索引.html演示如何执行创建，更新和删除使用CSRF头的操作。要使用它，请在第6行提供OData源的用户id和密码，放置datajs-1.1.2的副本。最小js放入与HTML文件相同的文件夹并部署Kapsel应用程序。请注意，运营商ID AA已被删除，AC的货币已更改为美元。

如果设备上的多个应用程序连接到同一SAP Mobile Platform服务器并使用相同的用户名和密码，或证书，这些可以在应用程序之间共享，因此只需输入一次。共享凭据由一个名为Client Hub的应用程序管理，阿里大数据，该应用程序与登录插件集成。Client Hub作为Android和iOS项目提供，大数据查询平台，可以在移动设备或模拟器上构建和安装。它是移动SDK的一部分native SDK.

有关更多详细信息，请参阅Client Hub.

注意共享凭据的应用程序可以是native mobile应用程序或Kapsel应用程序。

注意，不建议将Client Hub与iOS模拟器一起使用。

Client Hub项目和Kapsel项目必须由相同的证书签名。有关更多信息，请参阅有关Android应用程序签名的信息，请参阅为应用程序签名。

执行以下步骤在两个Kapsel应用程序之间共享凭据。

对中继服务器的支持是作为SMP 3.0 SP03版本的一部分添加的。SAP提供了一个公共托管中继服务器，可用于开发中启用SMP 3.0等服务器服务器对公司防火墙以外的设备或其他网络上的设备可用。在生产环境中，建议您将中继服务器安装到自己的网络中环境中继服务器通过在rsoe.exe文件（出站启用程序）通常与在同一台计算机上运行SMP 3.0服务器和中继服务器（可以公共访问）。公共托管的中继服务器正在运行和最近在完整中继服务器上提供文档。

中继服务器是SAP Sybase SQL Anywhere产品的一部分。如果您还没有有一个副本，可以从SAP Sybase SQL Anywhere 16 Developer Edition下载试用版。在安装过程中，确保选中中继服务器选项。

以下步骤演示如何使用公共托管中继服务器，使Kapsel应用程序能够连接到在公司防火墙后运行的SMP 3.0服务器或在不同的网络上。在执行以下步骤之前，请确保SMP 3.0服务器中的服务器连接仅使用测试数据或具有足够的安全设置。

应用程序可以使用客户端证书来唯一标识SMP 3.0服务器或OData后端的用户。客户端证书可以传递给通过X.509证书提供程序界面登录插件。在iOS上，仅显示属于应用程序密钥链一部分的证书。因此，使用客户端证书的应用程序通常使用移动设备管理解决方案（如SAP Afaria）向应用程序提供客户端证书。有关详细信息，请参阅使证书和密钥可用于您的应用程序并查找证书以了解更多详细信息。

X.509证书提供程序是一个可用于将移动设备管理软件与登录插件集成的接口。有关更多详细信息，请参阅使用X.509证书提供程序接口与第三方集成证书提供程序和https://github.com/SAP/mobilesdk-certificateprovider。

如果您想让别人更难检查您的代码，请考虑缩小甚至混淆您的代码。

确保应用程序无法调试。有关更多详细信息，请参阅调试部分。

删除所有硬编码密码。许多示例在上下文变量中设置了这些命令，因此在开发过程中不需要输入它们以便于使用。

请确保日志级别设置正确，并且留下的日志命令将用于生产代码中。请检查日志输出以确保没有不应记录的日志。

请检查客户端密码策略并确保其设置正确。

考虑添加一个移动设备管理解决方案，如SAP Afaria，以强制执行锁屏、密码策略，云上，启用设备的远程擦除并防止设备被根目录或越狱。

在Android上，可以通过在MainActivity中指定flag_SECURE的布局标志来限制应用程序捕获其屏幕。有关更多详细信息，请参阅WindowManager.LayoutParams.To到在"编辑"菜单上尝试此操作主活动.java为您的项目归档，并添加下面显示的两个粗体行。

注意，网云服务器，注册屏幕显示在InAppBrowser窗口中。若要禁用InAppBrowser窗口的屏幕共享，请进行以下粗体更改。