我注意到很多应用程序,甚至那些处理金融应用等敏感信息的应用程序都有这样的安全模型:用户首先使用用户名/密码登录,然后只需输入PIN即可访问应用程序。我想知道这通常是如何实现的。它是通过将散列凭证存储到本地数据库并将它们绑定到PIN来完成的吗?
答案 0 :(得分:0)
用户名/密码登录应该是远程服务器上的身份验证和授权的默认设置。您可以将应用设置为登录一次,从服务器获取身份验证令牌,然后使用此身份验证令牌登录以后续访问。
作为替代方案,您可以要求用户每次登录。
您应该使用PIN来限制对整个应用的访问,包括任何本地数据。话虽如此,PIN并不是特别安全。如果您想要更高级别的安全性,请考虑使用OTP。