我对cordova的发展很新。我正在尝试在Android应用程序中开发一个登录页面,我需要从数据库访问用户名和密码以检查凭据。现在我正在托管一个Web服务,只需使用ajax请求将用户名和密码传递给该服务,然后根据webservice返回的值继续。我不知道这是正确的程序吗?我通过ajax发送用户名和密码,我认为它不安全。你能建议最好的访问cordova数据库吗?我正在使用visual studio IDE进行开发。我使用以下代码将用户名和密码发送到webservice。
$.ajax({
url: 'localhost\service\Controller',// hostedd in iis
data: JSON.stringify({ username: 'user1', password: 'pwd' }),
sucess: function (data) {
//perform operation for login success
},
error: function () {
}
})
谢谢
答案 0 :(得分:2)
请按照以下步骤操作:
如果您使用外部网址,那么白色会听取它们: http://cordova.apache.org/docs/en/dev/guide/appdev/whitelist/index.html
仅使用https。
使用此插件验证证书的足迹:
http://plugreg.com/plugin/EddyVerbruggen/SSLCertificateChecker-PhoneGap-Plugin
不发送密码,发送密码的哈希值。使用您在后端使用的相同算法来创建哈希值。
创建设备UUID,将其保存在设备上并将其发送到后端并在第一时间保存,设备称为后端。使用此UUID记录设备活动。
每次向后端发出请求,请发送设备UUID并进行检查。
确保您在后端有办法停止设备和用户的活动。
在我的某些应用中,我使用设备UUID进行个别加密。
如果您愿意,可以使用此插件加密整个应用:
http://plugreg.com/plugin/EddyVerbruggen/SSLCertificateChecker-PhoneGap-Plugin