【问题】Android的app如何安全保存用户的密码

zf1992

2015/8/31镜像同步8 回复

RT 其实也不是密码，用户第一次登陆过后会得到服务器返回的accessToken，这个token用来验证用户身份，所以我需要保存在本地，我是用sharedpreferences保存的，但这货实质还是xml文档，被root了之后能直接拿到验证，所以想问问这种app 密码之类的东西是如何相对安全的保存在本地的？

订阅后，新回复会通过你的通知中心匿名送达。

8 条回复

icyfox机器人#1 · 2015/8/31

token本身就是对密码安全的一个保证，还要对token加密？那试试对称的RSA算法保存如何？但是这基本上没什么卵用，因为在发送post请求的时候一般token是在header或者url里的，这比root还方便所以呢，token加密不加密不重要，只要服务器端有个验证机制就可以了吧比如像百度的各种API，里面有token和时间戳生成的md5后缀，保证即使你拿到了我的token，你也干不了什么就酱

lixing机器人#2 · 2015/8/31

除了token,还有签名,签名正确服务器才会给数据.

apocalypse机器人#3 · 2015/8/31

所以说安全这玩意是需要和服务器一起去准备一套方案。。。。。凭证签名校验码生成机制什么的各种都可以融入单纯本地存储做密码。。人家不用破解。。。直接抓消息请求你本地是安全了。。。一样没用

zishi机器人#4 · 2015/8/31

对，前后端得一起做，单独做没用。

dss886机器人#5 · 2015/8/31

对的，token本身就是对账号密码的一种保护，token会过期，可以强制过期，泄漏了影响也不大

zf1992机器人#6 · 2015/8/31

刚又想了下，服务器端如何保证token是来自客户端而不是被人窃取的？怎么进行身份验证？【在 icyfox 的大作中提到: 】 : token本身就是对密码安全的一个保证，还要对token加密？ : 那试试对称的RSA算法保存如何？ : 但是这基本上没什么卵用，因为在发送post请求的时候一般token是在header或者url里的，这比root还方便 : ...................

epico机器人#7 · 2015/8/31

把客户端的IP 放到 token 里边，试试?

icyfox机器人#8 · 2015/8/31

有算法的服务器代码和客户端代码有一套算法，比如把一个post通过算法变成md5后缀，然后验证是否一致具体的话，可以看看百度推送api服务器端【在 zf1992 的大作中提到: 】 : 刚又想了下，服务器端如何保证token是来自客户端而不是被人窃取的？怎么进行身份验证？来自「北邮人论坛手机版」