我正在开发一个应用程序,它将连接到服务器webservice并交换数据。我想在应用程序中包含自动身份验证机制。我不是很擅长安全的东西,所以我想问你,如何正确地做到这一点。我认为,将用户密码存储在共享首选项或数据库中并将其与存储在服务器中的密码进行比较并不是一个好主意,即使是以加密形式。我想有更好的方法可以做到,对吧?
答案 0 :(得分:0)
通常,服务将返回某种键(通常在cookie中),并在每次后续请求时传递该键。服务器负责跟踪谁拥有什么密钥。当然,关键是非常大,所以它不可思议。
在服务器端,永远不要存储密码。您存储密码的哈希值,当传入的密码来自登录请求时,您将其哈希并比较哈希值。更好的是,你也应该为你的哈希加盐。如果您不熟悉安全性,我建议您使用现有的库而不是编写自己的库。