我正在尝试创建一个移动应用程序,我想知道这样做是否既安全又合适。
我有一个托管在 MySQL 服务器上的数据库。用户在应用程序中输入帐户信息。按提交后,将生成以下 URL 并发送到我的服务器。这将返回一个简单的 JSON 返回有关帐户的信息以及它是否正确。该应用程序拉回剥离的 HTML 页面,仅保留 JSON。
这是生成后的示例 URL。我将应用程序上的密码转换为 SHA1,然后发送。 LoginValidation.php?x=test&i=a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
当尝试使用外部数据库时,这是一种完全可以接受的处理帐户的方式吗?它是否安全?
谢谢!
编辑:这也是大型科技公司(Twitter/Facebook)处理登录/检索信息的方式吗?
最佳答案
在这个问题上有几个问题需要解决。
- 我将从使用 POST 开始。 GET 存储在日志文件/浏览器历史记录等中。
- 只需在浏览器中返回纯 JSON 并处理此问题。
- 接下来,我将确保您有一个将用于创建哈希的“peper”(应用程序中的 key ),以及一个与哈希密码一起存储在数据库中的“salt”。
- 如果可以,我会使用 HTTPS 与服务器通信。这样您就可以加密请求/响应并避免中间人攻击。
这是对某些事情的回答……关于这件事可能还有更多!我相信人们可以帮助添加更多评论。
关于php - 使用 PHP GET 服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21988983/