本文探讨了手机应用中实现“记住密码”功能的安全策略。作者分析了不同类型的app做法,如银行类应用通常不记录密码,微博类应用使用OAuth认证,而大部分应用如QQ则采取了一定的安全措施。作者提出自己的解决方案,即在本地存储经过加密的验证口令,并设置有效期,以降低密码被获取后的风险。这种方案能在一定程度上提高安全性,限制非法访问的权限和时间。
本人刚踏入这行不久,所以以下文章在高手眼里可能比较稚嫩,还望高手看到后口下留情,另外欢迎提出意见。
由于公司不大,没人带,属于单干型,很多东西也只能摸索和搜索。苦恼。
最近研究android手机端的 登录的 “记住密码“功能。第一想到的就是sharedpreference中,也就是一个xml文件中。但android手机一旦root后,那么只要有人有心,还是能够找到这密码的。而且android目前代码混淆并不牢靠,要做逆向也没那么困难。
不知道各个app是怎么实现这功能的,oauth我也没研究。
研究了下各个app
1.首先是银行的,银行账号密码这是相当重要的,所以,这些app干脆就没做记住密码,用一次,输一次。既然没做记录,那么这方面的安全也不用考虑了。不过大部分其他类型app考虑到用户体验,就不能这么做了。
2.微博类,这些app很多采用oauth认证,这玩意,我也没研究。但这类app每次做这些认证时,每次都得跳到网页去,不太方便。主要oatuth主要还是针对向第三方提供一种认证。具体到其他应用,不太适合。
3. 其他大部分应用,像qq之类的,我们发现,这些应用记住密码后,能用上一阵子,然后过一阵子就失效了。
所以这里也选择第三种方案,那么那些app是怎么实现的呢,怎样才能保证”足够“安全呢。注意这里足够之所以加引号,是因为既然存在本地,就肯定有办法能够通过各
最低0.47元/天 解锁文章
扫一扫
3242
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
