Механизм автоматической аутентификации Android

Я разрабатываю приложение, которое будет подключаться к серверу webservice и обмениваться данными. Я хочу включить механизм автоматической аутентификации в приложение. Я не очень хорошо разбираюсь в материалах безопасности, поэтому я хотел бы спросить вас, как это сделать должным образом. Я думаю, что сохранение пароля пользователя в sharedpreferences или базе данных и сравнение его с паролем, хранящимся на сервере, не является хорошей идеей, даже в зашифрованном виде. Я предполагаю, что есть лучший способ сделать это, верно?Механизм автоматической аутентификации Android

источник

2013-05-16 mbz

Обычно служба возвращает какой-либо ключ (обычно в cookie), и вы передаете этот ключ с каждым последующим запросом. Сервер отвечает за отслеживание того, у кого есть ключ. И, конечно, ключ очень велик, поэтому его невозможно узнать.

На стороне сервера никогда не храните пароль. Вы храните хэш пароля, и когда входящий пароль поступает из запроса на вход, вы хеш его и сравниваете хэши. Лучше еще вы должны солить свои хеши. Если вы не знакомы с безопасностью, я действительно предлагаю вам использовать существующую библиотеку, а не писать свои собственные.

источник

2013-05-16 19:58:54

OK, поэтому дайте мне понять это шаг за шагом. Вначале я могу войти в мобильное приложение. Хэши сравниваются на сервере, и ключ возвращается с успехом. Теперь я должен сохранить этот ключ в общих предпочтениях приложения, чтобы использовать его с каждым последующим запросом? – mbz

Механизм автоматической аутентификации Android

ответ

Смежные вопросы