关于用户密码安全

没有做PC端,仅仅移动端,求鞭笞(我是小应用,社区类型的。

总体思路:客户体验>服务器压力>客户端复杂度


移动客户端保存用户密码,以便于下次token过期时使用。

保存加密方式:iOS:keychain

              android:目前AES

android理论上在手机被root+我的软件被完全破解后,密码也能被搞出来,keychain就难度很大很大了,userDefaulter其实也只有手机被越狱获取权限后才有危险)


服务端:

md5(密码+盐)+密码错误尝试次数限制,因为本身身份验证请求,不会频繁发生(除了高级别操作,如改密码等),都是token代劳。

(理论上,应该在数据库和服务端关键代码被盗取后,知道了盐,然后md5字典碰撞测试,有一定几率破解)


好吧,因为我非专业,一个人摸索的,求在公司工作的大大么指点


你可能感兴趣的:(安全,服务端,客户端)