我正在开发一款Android应用程序,需要用户先进行注册才能访问。用户将得到的信息非常敏感,因此我需要一种安全的方法来实现这一点。虽然我之前为Web应用程序做过类似的身份验证功能,但是我从未在Android上操作过。我会将密码使用MD5哈希存储在MySQL数据库中,但我认为这不是一个很安全的方法,对吗?
为了确保用户身份验证时的安全性,我该怎么做?
此外,我能否在这里使用oAuth?
为了确保用户身份验证时的安全性,我该怎么做?
此外,我能否在这里使用oAuth?
什么是在我的Android应用中验证用户的最佳方法?
3
- GrowinMan
2
2如果信息非常敏感,你应该要求老板指派已经做过类似工作的人来协助你,或者咨询公司外部的专业人士。这里有许多需要考虑的因素。 - Lukas Knuth
我同意Lukas的评论,从有更多经验的人那里获取一些输入。通常情况下,如果您在存储密码之前只是使用MD5哈希,那么很容易破解。不太安全。 - Petar Zivkovic
1个回答
2
是的,您可以在Android上使用oAuth。您应该查看官方的Android oAuth2培训http://developer.android.com/training/id-auth/authenticate.html
如果您决定实现自己的身份验证方法,那么存储密码将会很棘手。MD5不安全,带盐的SHA-256可能足够安全。在此方案中,您需要存储两个内容:
- 密码哈希值= SHA(password + salt)
- 随机文本盐。
关于此主题的良好教程和大量详细信息可以在此页面找到。
如果您必须处理高风险数据,我建议您联系安全专家,他们可以帮助您创建适当的解决方案。如果您没有经验自己操作,那么最有可能失败。
- allprog
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接