我正在尝试制作一个用户必须使用名称/密码组合登录的应用程序。但是,我不完全确定在哪里检查用户名/密码是否有效。
每次运行应用程序时,我是否应该在显示登录屏幕之前刷新手机上的数据库副本?或者我应该只在我验证了登录信息后才拉(通过通过 https 发送的帖子?)。
此外,我想知道在手机上存储包含用户名/密码组合的部分数据库的安全性。如果我用盐反复对密码进行哈希处理,是否有可能轻松查看用户名/密码组合?什么哈希算法是合适的?(我读过 md5 很弱,sha-1 也是如此,但也许通过反复迭代它可以减轻 sha-1 的弱点?)。