android用户密码一般在哪个环节加密

是在客户端加密传输给服务器还是以明文走https/tls ,服务器端 BCrypt加密

3个回答

你得搞清楚加密主要是为了防范什么。
要防范4个环节:
(1)有人捡到手机,从它的存储中获取“记住密码”功能而保存的明文密码
对策:不应该在客户端存储密码的原文,而是应该存储token值(登录成功随机由服务器生成)。
(2)私有的wifi的监听,中间人获取你的密码,或者伪造一个服务器端获取你的密码
对策:使用SSL加密传输
(3)服务器被攻破,俗称拖库,比如csdn 600万事件,某酒店开房数据泄漏事件。
对策:服务器也不要存储明文密码,而是存储hash值,比如用md5/sha来存储。
(4)有人虽然不知道你的密码,但是随机猜测、用同一个账户在别的网站的密码来尝试,或者用字典穷举
对策:限制单位时间内尝试输入的密码的次数,验证码,防止机器穷举

一般来说,密码加密这些逻辑代码服务端负责,有服务端管理

app端尽量使用md5等先加密一下,以免上传被截取

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问