app登录后,服务端返回一个token,app存在客户端,下次再打开app时,直接读token,传token到服务端做验证,免去重新输入用户密码的麻烦,这个token存储在header里,目前看大多数app都是这样做,但如果黑客抓包获取到token,伪造http 请求,对服务器做操作,那岂不是很不安全。。。
各位大师你们是怎么处理的
------解决思路----------------------
是这样做的吗?
我说下我所在公司做的几个app,都是登录后的个人数据,写在本地,每次打开app,读取数据,有数据,自动登录,没有数据,跳转到登录界面(输入帐号密码的)(用时间戳处理校验,跟回答你上个问题的安全机制一样)
------解决思路----------------------
token机制不是万能的
其实你可以对token加上时间限制和功能限制 以减轻token泄漏所引发的安全问题
------解决思路----------------------
我公司的app同一楼一样
登录时的uid 和 loginkey 是有效期的 过了这个有效期会让你重新登录 登录后本地记录一份 下次打开软件
读取本地的 向服务器发起请求 有效则登录 无效则再次登陆
------解决思路----------------------
这方法确实不好啊,不能只依赖于http的header里的东西来认证,太容易模仿。最简单的方法可能就是走https,客户端只要接受服务器端的签名即可。