我最近开始使用Phonegap制作一些iPhone应用程序。由于我目前对HTML,CSS和JS的了解,这对我来说是一种简单的方法,可以开始学习和创建开发人员可以在以后优化的概念。我偶然发现了this blog post。
这里有一个简单的AJAX登录表单的描述。我之前已经问过使用AJAX作为登录方法的安全性,并且被告知将密码作为AJAX变量发布与正常页面更改相比具有风险。这当然基于桌面Web应用程序,在这种情况下,它是关于本机电话应用程序。使用AJAX for Phonegap Apps还存在安全风险吗?
在帖子中,作者还提到了一种将密码和用户名存储为本地变量的方法,以便在下次打开应用程序时自动登录。这样安全吗?将登录详细信息以纯文本形式存储在本地变量中?
我花了一些时间浏览一些网站,了解他们如何处理基于AJAX的登录。令我惊讶的是,除了将登录详细信息作为阵列发布到他们的登录服务器之外,他们什么都不做。 iCloud和Squarespace等网站在发布之前不会对登录详细信息做任何事情。当然他们在网站上有一个SSL证书,但这样安全吗?
答案 0 :(得分:0)
这种方法的主要问题是登录凭据可以是sniffed。
您可以使用SSL证书来阻止它。
现在对于加密部分,我已经开始使用bcrypt(而不是被引用的mcrypt),因为它提供了一种减缓暴力攻击的机制,通常是推荐的加密算法。 PHP有password_hash方法(PHP 5 >=5.5.0),它非常容易使用!
答案 1 :(得分:0)
存储密码不是一个好的解决方案。
我强烈建议使用JWT(json网络令牌)使用安全令牌,可以在不使用密码的情况下将其禁用。 Oauth 2.0也是一个很好的完整解决方案。
至少应使用SSL加密和基本身份验证协议保护通信,以便在每个连接中发送令牌。