第一次在这里开发应用程序,如果这看起来很愚蠢,那就很抱歉。 我正在构建iOS的登录/注册屏幕。我的计划是将用户名/密码发送到REST API端点,然后检查它们是否存在于数据库中。 我的问题是,如何加密手机和端点之间的通道或加密发送的信息,以防止中间人攻击。如何在不发送密钥的情况下在端点解密它?
谢谢!
答案 0 :(得分:0)
使用https和证书固定,这将为您提供应用和服务器之间的安全加密通道,即使任何查询字符串都已加密。
不要在服务器上保存密码,而是保存哈希值。哈希真的需要播种,PBKDF2是一个很好的解决方案。保存随机生成的种子和密码。
当服务器收到用户时,密码会查找用户并获取salt和哈希密码。用盐收集哈希并比较两个哈希值。服务器永远不会保存密码。
请参阅信誉良好的消息来源了解具体细节,显然这是对细节的掩饰。如果有真正的价值受到保护,请聘请加密领域专家。
还必须在服务器上使用双因素身份验证。