我有一个预先存在的网站,我希望我的Android应用程序也可以登录。我希望应用程序在用户登录后记住用户名和密码,这样他们就不必每次进入应用程序时都继续输入凭据。如何安全地存储密码?
该应用程序只允许用户上传图片,而网站存储贝宝和卡片信息,所以如果有人丢失手机并且碰巧最终落入坏人手中他们将无法提取密码,这一点非常重要。密码是否需要在另一端解密?
答案 0 :(得分:1)
首先,您无法100%安全地存储密码。
这里有一个关于安全凭据存储的好博客。 http://android-developers.blogspot.co.uk/2013/02/using-cryptography-to-store-credentials.html
要在另一端加密密码,您需要使用单个公共主密钥或与服务器进行某种形式的密钥交换。
要么在本地解密密码,要么通过HTTPS发送密码。
答案 1 :(得分:1)
而不是存储登录名和密码只存储某种身份验证ID,例如在OAuth中,并且在访问PayPal /卡和其他私人信息时始终要求输入密码。
答案 2 :(得分:-1)
更好的方法是使用 MD5 hash 。您可以在收到授权用户的请求时对密码进行哈希,然后在unhash文件中.php。
另外,在database(SQLite,MySQL等)中存储哈希密码没有问题