标签:
没有做PC端,仅仅移动端,求鞭笞(我是小应用,社区类型的。)
总体思路:客户体验>服务器压力>客户端复杂度
移动客户端:保存用户密码,以便于下次token过期时使用。
保存加密方式:iOS:keychain
android:目前AES
(android理论上在手机被root+我的软件被完全破解后,密码也能被搞出来,keychain就难度很大很大了,userDefaulter其实也只有手机被越狱获取权限后才有危险)
服务端:
md5(密码+盐)+密码错误尝试次数限制,因为本身身份验证请求,不会频繁发生(除了高级别操作,如改密码等),都是token代劳。
(理论上,应该在数据库和服务端关键代码被盗取后,知道了盐,然后md5字典碰撞测试,有一定几率破解)
好吧,因为我非专业,一个人摸索的,求在公司工作的大大么指点
标签:
原文地址:http://my.oschina.net/u/2262643/blog/487855
