我有一个与android无关的问题。但因为我是Android开发者,我把这篇文章作为android post。
在我的应用程序中,我有一个登录页面。在这个页面中,我从用户获取用户名和密码,然后加密密码,然后我将它们发送到服务器进行验证。根据服务器的反应,我会做我应该做的事。
我认为这个过程存在风险。如果有人攻击我的代码,他/他可以很容易地作弊。而且因为这个项目是基于股票市场的项目,所以它需要更高的安全性。我担心如果有人破解了这个代码,我作为开发人员或我的公司应对这个问题负责。
现在,我想要的是,登录页面应该受我客户服务器的控制。这是我的想法: 1-我将打开一个连接(该URL应由客户端提供给我) 2-我将打开另一个连接来收听服务器的反馈 3-如果服务器说好,我让用户进入应用程序。
这是一个好方法吗?还有其他办法吗?
答案 0 :(得分:1)
如果有人攻击你的代码,通常所有的赌注都会被取消。如果你想真正保护某些东西,你需要将它保留在服务器端。
对于不发送用户名/密码,您可以使用标准协议(如SAMLv2,OpenID或OAuth)将客户端的服务器充当身份提供者。您必须选择哪一个符合您的需求,但一般的想法是用户将使用您客户端的服务器登录并授权您的应用程序查看其数据,并且您的应用程序永远不需要查看其实际密码。