【发布时间】:2016-03-25 06:10:45
【问题描述】:
据我了解,通过基于令牌的身份验证,客户端发送他的用户名/通行证并接收令牌。然后将其用于身份验证。
(关于我的目标的背景信息,以便您更好地理解我正在尝试做的事情,只是使用令牌在 android 应用程序上对 sql 数据库上的用户进行身份验证)
Mobileapp - 发送用户名/密码 -> 服务器 / Api
Mobileapp
Mobileapp - 使用令牌从服务器检索数据 -> 服务器/api
移动应用程序
对于移动应用程序,此令牌不是驻留在用户手机上吗? 我想我在这里误解了一个关键概念。但这不就是说不管我们怎么加密,都能及时破解,这样我们的秘钥就会被泄露?并且一旦密钥被泄露,用户是否不能为其他用户生成真实的身份验证?
可能的解决方案 1:我在考虑用户注册时,会为该用户提供一个密钥用户,该用户可以与他们的信息一起存储在服务器上,而不是通用密钥,所以即使它是坏了它不会对其他用户起作用,这是人们防止这种事情的方式吗?
解决方案 2 或结合一个,是让每个用户的密钥在 24 小时后过期,并对至少需要 24 小时才能破解的密钥进行加密,以提供适当的安全级别?然而,这个问题是用户密码需要存储在某个地方,这会导致它无论如何都会被暴力破解的问题。
请原谅我的无知,感谢任何和所有帮助:)
【问题讨论】:
标签: security authentication cryptography access-token