Android自动认证机制

Question

我正在开发一个应用程序，将连接到服务器网络服务和交换数据。我希望在应用程序中包含自动身份验证机制。我真的不擅长安全方面的东西，所以我想问你，如何正确地做到这一点。我认为，将用户密码存储在共享首选项或数据库中，并将其与存储在服务器中的密码进行比较，即使是以加密的形式，也不是一个好主意。我想还有更好的方法，对吧？

Answer 1

正常情况下，服务将返回某种类型的键(通常在cookie中)，您可以在每次后续请求中传递该键。服务器负责跟踪谁拥有什么密钥。当然，密钥非常大，所以它是不可猜测的。

在服务器端，永远不要存储密码。存储密码的散列，当传入的密码来自登录请求时，对其进行散列并比较散列。更好的是，你也应该在你的哈希表中加盐。如果你不熟悉安全性，我真的建议你使用现有的库，而不是编写自己的库。