我正在构建一个应用程序,用户可以登录到system.But我对此感到困惑。当用户登录到应用程序时,我将他/她的用户名和密码存储在应用程序数据库中(加密)并且每个应用程序打开我发送此信息用于检查服务器的用户名和密码。这是一个好方法吗?如果不是,应该怎么做?
答案 0 :(得分:3)
存储密码,即使加密,客户端也不是一个好主意。首先,密码永远不应该被存储,它们应该被盐渍和散列并存储结果,因此如果存储受到损害,则无法获得密码。其次,加密密钥来自哪里?如果它在应用程序中,它的逆向工程和未加密的微不足道。这就是为什么你不存储它,你将它发送到服务器一次并使用访问令牌 - 请参阅xaevinx建议的OAuth实现。