一些背景:
- 用户在每个应用启动实例上输入凭据。
- 这些凭据作为 POST 正文的一部分发送到服务器(我们使用 AES 使用 key 对其进行加密并放入帖子正文中),然后我们返回一个 token ,该 token 是来自服务器的一些编码字符串。
- 此 token 将授权我们的应用发出请求。
现在我希望各位读者关注这样一个事实:我们首先需要用户凭据才能获取授权 token 。
- token 将在 12 小时后过期,并且所有后续请求均未经授权,我们被迫将用户踢出应用程序以再次重新登录并获取新 token ,该 token 在另外 12 小时内有效。我知道这是一次糟糕的经历。
现在我们需要实现记住我的功能。使用共享首选项我一点也不舒服(即使使用加密,在这种情况下,严重的黑客也可能获得 key )。我应该怎么办 ?我刚刚知道 token Web 服务是一个 oAuth2。我是一个新手,仍在查看有关 oAuth2 的文章,我看到人们对 SharedPrefs 和 AccountManager api 进行了大量讨论。但我看到了这个answer作者:雷托·迈尔。他提到服务器应该使用 oAuth。我的问题是给定我的场景,最安全的方法是什么以及如何使用 oAuth 来实现“记住我”功能。任何类型的“清晰”示例/清晰解释都会有很大帮助。期待您的答复。
最佳答案
这仅是我的观点,可能不是 100% 正确。
我目前正在努力解决这个问题,但我知道可能导致的一些结果是:
使用派生函数将密码存储在服务器的数据库中 与 hash + salt 一起,成为每个用户唯一的 salt;
通过发送用户名和密码(散列或纯文本)来实现 oAuth 文本并不重要)通过 HTTPS 一次到服务器,他
返回具有给定到期时间的 token 。例如 Dropbox
oAuth token 具有大量验证,但这并不意味着它不太安全。你 如果用户受到威胁,只需使 token 失效即可;将 token 存储在设备的 SharedPreferences 中,并将其用作 记住我。
关于Android:OAuth2 - 如何实现记住我的功能?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28401251/