移动APP如何保存用户密码

最新推荐文章于 2024-05-09 19:19:38 发布
最新推荐文章于 2024-05-09 19:19:38 发布
阅读量4.1k 收藏 3
点赞数 1
分类专栏: Android 文章标签: 加密 安全 移动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leokelly001/article/details/44454723
版权 

<span style="font-size:14px;">为了更好的用户体验,移动APP客户端一般都会将用户信息进行保存以便后续可以自动登录.</span>

保存了用户信息便涉及到了安全问题.

解决的方法大概有一下几种:

1.首先,如果客户端和服务端都是你来设计开发,那么有两种比较可靠的方案

A.客户端将密码Hash加密,登录成功后将hash值保存到Sqlite.服务端得到用户名和hash值,采用同样的算法对密码进行Hash运算,然后和用户传来的hash值进行比较,一致则登录成功.更加可靠的是对密码加盐加密.例如可以采用PBKDF2加盐加密.

<span style="font-size:14px;">public static String createHash(String password)
			throws NoSuchAlgorithmException, InvalidKeySpecException {
		return createHash(password.toCharArray());
	}

	/**
	 * Returns a salted PBKDF2 hash of the password.
	 * 
	 * @param password
	 *            the password to hash
	 * @return a salted PBKDF2 hash of the password
	 */
	public static String createHash(char[] password)
			throws NoSuchAlgorithmException, InvalidKeySpecException {
		// Generate a random salt
		SecureRandom random = new SecureRandom();
		byte[] salt = new byte[SALT_BYTE_SIZE];
		random.nextBytes(salt);

		// Hash the password
		byte[] hash = pbkdf2(password, salt, PBKDF2_ITERATIONS, HASH_BYTE_SIZE);
		return PBKDF2_ITERATIONS + ":" + toHex(salt) + ":" + toHex(hash);
	}</span>

加密后的字符串为1000:1507039de0a3c2c88ddf896233278e37d05fd8a0fadc570d:99222374678d4afe5d7d9bf9be4786e17f045ac217c6a2ca,

1000为迭代的次数,后面分别是salt和hash值.

服务端得到这个字符串后,从中解析出迭代次数,salt,hash1值,然后采用同样的算法对数据库里面的密码进行计算

	public static boolean validatePassword(String password, String correctHash)
			throws NoSuchAlgorithmException, InvalidKeySpecException {
		return validatePassword(password.toCharArray(), correctHash);
	}

	/**
	 * Validates a password using a hash.
	 * 
	 * @param password
	 *            the password to check
	 * @param correctHash
	 *            the hash of the valid password
	 * @return true if the password is correct, false if not
	 */
	public static boolean validatePassword(char[] password, String correctHash)
			throws NoSuchAlgorithmException, InvalidKeySpecException {
		// Decode the hash into its parameters
		String[] params = correctHash.split(":");
		int iterations = Integer.parseInt(params[ITERATION_INDEX]);
		byte[] salt = fromHex(params[SALT_INDEX]);
		byte[] hash = fromHex(params[PBKDF2_INDEX]);
		// Compute the hash of the provided password, using the same salt,
		// iteration count, and hash length
		byte[] testHash = pbkdf2(password, salt, iterations, hash.length);
		// Compare the hashes in constant time. The password is correct if
		// both hashes match.
		return slowEquals(hash, testHash);
	}


如果hash2和hash1一致,则登录成功.同时客户端将加密后的字符串保存到本地数据库,下次登录时直接从数据库读取.

B.使用非对称加密算法对密码进行加密.

  1. 客户端使用公钥加密密码,得到加密串,然后将其发送到服务端.
  2. 服务端使用私钥解密密码,进行验证,
  3. 登录成功后,客户端将加密串保存到本地,便于下次自动登录;
使用非对称加密比较可靠,即使加密串被泄露也无法得到密码.

2.如果你只是负责客户端,对服务端无能为力,那么你可能只能使用对称加密了.(如你正在为学校图书馆写个客户端,你还想设置自动登录,那么你本地只能使用对称加密了,将加密串保存到本地,然后下次自动登录时,从数据库取出加密串然后解密...服务端只识别原始的密码)
这种情况,你只能考虑如何生成加密密钥,以及如何保存密钥,如何混淆.
考虑了一种方法:
加解密函数 DES(passwd,key,encode);
str1 =  DES(passwd,key,encode);
str2 =  DES(key,str1,encode);
本地数据库中保存 str1:str2.
解密时,str2以str1解密得到key.
然后,str1以key解密得到passwd.
非对称加密只能以这种逻辑上的复杂度增加密码的强度.

3. 使用JNI加解密。

另参考文章:

android中使用jni对字符串加解密实现分析

加盐密码哈希:如何正确使用





leokelly001
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开发----vue移动端登录 记住密码和获取验证码
weixin_45048706的博客
10-20 2090
登录功能里见的比较多的就是记住密码和获取验证码这块 下面说说这块功能实现方法 1.记住密码: 这是按照设计做的 记住密码文字前面是两个图片 改变data 中的数据改变图片 但是这里有一个坑 写在这里 动态绑定图片时候data中数据应该这样写: imgs:require("…/…/assets/images/mirror-service.png)" require加上地址 如...
移动APP安全测试要点
01-27
移动APP安全测试是确保用户数据安全和应用稳定性的关键环节,尤其在当今移动互联网高度发达的时代。随着智能手机和平板电脑的广泛使用,移动应用成为日常生活和工作中不可或缺的一部分,但这也带来了大量的安全挑战...
移动App该如何保存用户密码
热门推荐
横云断岭的专栏
06-28 5万+
  update 2018-06-04 2015年出的一个规范 JSON Web Token (JWT)  https://tools.ietf.org/html/rfc7519  JWT 官网: https://jwt.io/   八幅漫画理解使用JSON Web Token设计单点登录系统: http://blog.leapoahead.com/2015/09/07/user-auth...
Android移动应用开发之登录用户密码记住及创建数据库存储查询用户密码_移动开发登录
最新发布
2401_84558442的博客
05-09 453
这篇文章主要是实现上示功能。首先创建数据库(只能创建一次)然后输入用户密码,店家注册,将数据插入数据库点击记住密码能够在下次登录时自动输入用户密码最后点击登录能够进入登录界面。ps:这里有个bug就是得注册两次才能生效,不太理解哪里有问题了,以后知道了再来补…问题找到了及时关闭,就可以解决bug了。
移动APP怎样保存用户password
weixin_34335458的博客
07-16 143
&lt;span style="font-size:14px;"&gt;为了更好的用户体验,移动APPclient一般都会将用户信息进行保存以便兴许能够自己主动登录.&lt;/span&gt; 保存用户信息便涉及到了安全问题. 解决办法大概有一下几种: 1.首先,假设client和服务端都是你来设计开发,那么有两种比較可靠的方案 A.client将passwordHash...
html5保存用户信息,javascript - 移动端html5 保存用户基础信息的方法@!求教
weixin_28933797的博客
06-19 168
怪我咯2017-04-10 15:48:244楼要做本地存储的可能有以下的几种方式:cookie、localstorage、sessionstorage、file system API、indexedDB、Web SQL.cookie、localstroage不多说可能是大家用的比较多得方案。都可以用作本地缓存,记录简单地字符串。除了常见的区别外我多几点。需要多提的两点哈1.cookie在浏览器发...
移动App该如何保存用户密码 --- 记录
qq_41497111的博客
05-07 1448
转:https://blog.csdn.net/hengyunabc/article/details/34623957
移动APP前端页面租房网站
03-02
移动APP前端页面租房网站是一种专为手机用户设计的在线租房平台,主要利用HTML技术构建H5(HTML5)移动应用的前端界面。这种设计旨在提供快速、流畅且适应性强的用户体验,使用户能够轻松地在手机上浏览房源信息、...
51单片机app密码
04-16
APP部分则涉及到了移动应用开发,包括用户界面设计、服务器通信、数据加密等复杂技术。 综上所述,51单片机在密码锁的应用中承担了数据处理、控制执行、通信交互等关键任务,其功能的实现需要扎实的单片机编程...
wifi密码app查看
01-13
Wi-Fi密码查看应用是移动设备上的一种实用工具,主要用于帮助用户查看已连接或曾经连接过的Wi-Fi网络的密码。在日常生活中,我们可能遇到需要共享Wi-Fi密码的情况,但有时忘记了具体的密码。这类APP就可以解决这个...
android原生登录 +webview 记住登录状态
11-13
在进行APP+H5混合开发的时候,一些功能是用native方法实现的,如登陆,一些功能是用H5实现的。所以往往需要将在native方法登陆的状态同步到H5中避免再次登陆。这种情况在Android开发中比较常见,因为Android不会自动同步cookie到WebView。做iOS开发则不用担心这个问题,因为iOS内部已经实现了cookie同步.本文就是一个小的事例,从登录到同步cookie
移动互联网App测试作业流程及测试点.docx
12-18
移动互联网App需要确保用户的隐私安全和数据安全,防止用户信息泄露、恶意攻击等。安全测试需要检查移动互联网App的各种安全问题,确保移动互联网App安全可靠性。 安装和卸载安全性是移动互联网App测试的重要组成...
限定只安装客户app,其他app需要密码
09-30
标题和描述中提到的“限定只安装客户app,其他app需要密码”是一种常见的安全策略,通常称为“受限制的应用程序安装”或者“应用白名单/黑名单”策略。这种策略旨在防止未经授权的应用程序被安装在设备上,以降低...
Android studio 移动订餐APP.zip
07-02
通过以上步骤,我们可以构建出一个功能完备、用户体验良好的移动订餐APP。在实际开发中,还需要考虑性能优化、测试策略、版本控制等方面,确保应用的质量和稳定性。此外,持续学习和跟进最新的技术和最佳实践,将有...
APP登录界面源文件素材
07-16
在设计一个APP登录界面时,考虑的要素众多,包括用户体验、视觉美观以及功能实用性。"APP登录界面源文件素材"提供了设计师们实现这些目标的重要工具。这个资源包含了一个JPG预览图(psd29823.JPG)和源文件(psd...
springboot移动app开发流程
01-11
根据提供的引用内容,订餐app主要采用Android技术和Java语言进行开发,并使用MySQL数据库来建立一个数据完整、安全、稳定的数据库。订餐app的开发技术具有很高的可行性,并且开发人员掌握了一定的开发技术,因此系统的开发是可行的。 对于Spring Boot移动app的开发流程,以下是一个简单的示例: 1. 确定需求:明确订餐app的功能和特点,例如用户注册、登录、浏览菜单、下单等。 2. 设计数据库:根据需求设计数据库模型,包括用户信息、菜单信息、订单信息等。 3. 创建Spring Boot项目:使用Spring Initializr创建一个新的Spring Boot项目。 4. 配置数据库连接:在项目的配置文件中配置数据库连接信息,包括数据库URL、用户名、密码等。 5. 创建实体类:根据数据库设计创建实体类,用于映射数据库表。 6. 创建数据访问层:使用Spring Data JPA或MyBatis等框架创建数据访问层,用于对数据库进行增删改查操作。 7. 创建业务逻辑层:编写业务逻辑代码,处理用户请求并调用数据访问层进行数据操作。 8. 创建控制器层:编写控制器代码,处理用户请求并返回相应的结果。 9. 创建视图层:根据需求设计并创建移动app的界面,使用前端技术(如HTML、CSS、JavaScript)进行开发。 10. 测试和调试:对开发的功能进行测试和调试,确保系统的稳定性和正确性。 11. 打包和部署:将开发完成的移动app打包成可执行文件,并部署到移动设备或应用商店中供用户下载和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值