安全记住登录信息

Question

我正在开发一个UWP应用程序，用户可以注册/登录。成功登录后，应该保存登录信息，这样应用程序就可以在每次启动后重新登录。

保存信息是安全的，还是我应该修改我的服务，使其与令牌一起工作？

(如果一个坏人可以获得密码，他也可以得到令牌并接管用户-使用令牌是否仍然更安全？)

Answer 1

我认为您可以遵循这个实现用户名和密码数据Windows 8应用程序

他们使用IsolatedStorage和密码技术

Answer 2

使用凭据储物柜API：https://msdn.microsoft.com/en-us/library/windows/apps/mt270189.aspx

处理令牌而不是客户端的密码。

Answer 3

在应用程序中保存用户的凭据绝不是一个好主意。您应该只保留登录后服务器发出的令牌/ cookie /任何请求所需的令牌/cookie。

当保存auth数据时，使用Windows.Security.Cryptography.DataProtection对其进行加密，示例这里。Os使用Windows.Security.Credentials.PasswordVault。