所以我正在考虑为我的应用添加一些功能,这将是用户将PM发送给其他用户的能力,我的问题是如何最好地保护这一点。
我在考虑做这样的事情
用户必须在应用中验证自己(基本上是用于识别自己的密码)
系统通过https
发送服务器的ID和密码(响应将是一个加密的JSON对象,包含他们拥有的任何消息等
回到应用程序后,解密并将其存储在indexDB中
任何回复服务器的响应都会再次加密并通过https发送并在服务器上解密和存储一次
显然,如果这个人丢失了手机等,这并没有帮助,但是我试图获得一些关于该方法的反馈,以及它是否足够安全,因为任何有恶意的人都必须经历多次试图绕过系统的步骤,还需要有用户ID和密码。