我正在开发一个 Android 应用程序,该应用程序需要用户先向我们注册,然后只有他们才能访问。用户将获得的信息将非常敏感,所以我想要一种安全的方法来做到这一点。我以前从未在 Android 上使用过这样的身份验证功能,但是当我不得不为 Web 应用程序做类似的事情时,我会将密码 MD5 散列在 MySQL 数据库中。但我认为这不是一个非常安全的方法,是吗?
在对用户进行身份验证时,我可以做些什么来确保他们的安全?
另外,我可以在这里使用 oAuth 吗?
问问题
2831 次
1 回答
2
是的,您可以在 Android 上使用 oAuth。你应该看看官方的 Android oAuth2 培训http://developer.android.com/training/id-auth/authenticate.html
如果您决定实现自己的身份验证方法,那么存储密码将很棘手。MD5 不安全,加盐的 SHA-256 可能就足够了。在此方案中,您存储两件事:
- 密码哈希 = SHA(密码 + 盐)
- 盐是随机文字。
如果您必须处理高风险数据,我建议您联系可以帮助您创建适当解决方案的安全专家。如果您自己没有经验,那么您很可能会失败。
于 2013-02-22T23:30:20.013 回答