0

我正在开发一个应用程序,它将连接到服务器 web 服务并交换数据。我想在应用程序中包含自动身份验证机制。我不是很擅长安全的东西,所以我想问你,如何正确地做到这一点。我认为,将用户密码存储在 sharedpreferences 或数据库中并将其与存储在服务器中的密码进行比较不是一个好主意,即使是加密形式也是如此。我想有一些更好的方法可以做到这一点,对吧?

4

1 回答 1

0

通常,该服务将返回某种类型的密钥(通常在 cookie 中),然后您在每个后续请求中传递该密钥。服务器负责跟踪谁拥有什么密钥。当然,密钥非常大,因此无法猜测。

在服务器端,永远不要存储密码。您存储密码的哈希值,当传入密码来自登录请求时,您对其进行哈希处理并比较哈希值。更好的是,你也应该给你的哈希加盐。如果您不熟悉安全性,我真的建议您使用现有的库而不是编写自己的库。

于 2013-05-16T19:58:54.140 回答