我正在构建我自己的Android应用程序,但我有点卡在登录部分。 现在我知道如何发送我的用户名&密码就像通过SSL到我自己的API的明文一样,但是,这不是最安全的解决方案。
我想知道你们中是否有人给我一些建议(关注安全性),应用程序仍处于开发阶段(开发实际上刚刚开始)所以任何事情都可以改变或实现(对于API来说也是如此) )。
问候
答案 0 :(得分:2)
如果您的服务器具有真实证书,则这是安全的,因为SSL正在加密它。
您需要更新身份验证过程以减缓强力攻击(即在5次错误登录后锁定)
答案 1 :(得分:1)
根据客户端 - 服务器通信,您可以实现质询 - 响应,其中服务器在散列之前发出用户输入的密码前面的salt值。
示例:
登录操作
hash_function("QBX123" + "CleverBobby") 除非您使用对称密钥而不是单向散列(这将有自己的问题)加密您的密码,否则这种方法确实没有用,这样就不需要存储salt值,并且可以即时生成,否则它同样容易受到重放攻击,只是难以阅读。
那就是说,l_39217_l的答案是正确的,更容易的,也可能更安全。