我建立了我自己的android应用,但我有点卡在登录部分。 现在我知道如何通过SSL将我的用户名&密码发送到我自己的API,但是,这当然不是最安全的解决方案。发送登录信息的最佳方式 - Android应用
我想知道你们中的任何一个人是否有一些建议让我尝试(着眼于安全性),该应用程序仍处于开发中(开发实际上刚刚开始),因此可以更改或实施任何内容(对于API)。
问候
我建立了我自己的android应用,但我有点卡在登录部分。 现在我知道如何通过SSL将我的用户名&密码发送到我自己的API,但是,这当然不是最安全的解决方案。发送登录信息的最佳方式 - Android应用
我想知道你们中的任何一个人是否有一些建议让我尝试(着眼于安全性),该应用程序仍处于开发中(开发实际上刚刚开始),因此可以更改或实施任何内容(对于API)。
问候
如果您的服务器有一个真正的证书,这是安全的,因为SSL加密是它。
您将需要更新的认证过程,以减慢蛮力攻击(即锁定后5点错误登录)
根据客户端 - 服务器通信,可以实现质询 - 响应,其中服务器发出在散列之前用户输入的密码前面的salt值。
例子:
登录操作
hash_function("QBX123" + "CleverBobby")
这种做法实在是没有用的,除非你是一个对称密钥,而不是1个单向散列加密的密码(这将有它自己的问题),这种方式, salt值不需要存储并且可以随时生成,否则它同样容易受重播攻击的影响,只是难以阅读。
这就是说,l_39217_l的答案是正确的,更容易也可能更安全。
我的确在与l_39217_l的答案一起,谢谢你的意见,但也许在未来它会有所帮助;) – xorinzor
太好了,谢谢。 – xorinzor
另外,切勿以明文形式存储密码。始终存储加密的密码。将密码在本地进行加密,然后将加密的密码发送到您可以比较两者的API。 – MrZander