android auto sign in

DDD888

http://stackoverflow.com/questio ... word-in-android-app
问题是正如上面连接所讨论，客户使用android应用程序登录，并且希望下一次使用不再输入用户名和密码，密码如果加密保存在手机里，如果手机是root的，那意味着其他应用程序也可以读加密密码，存在可能如果知道了解密的算法，密码可以被读出来，上面的连接说可以由服务器返回一个token字符串，不再使用密码，而是使用token字符串登录服务器，但我想仍旧不能解决其他应用程序获取token字符串，从而可以登录服务器，我现在的想法是token字符串和android手机有个唯一识别代码同时发到服务器上去验证，但仍旧不能防止有人复制android手机唯一识别代码，该如何办啊？

当然可以强迫客户每次输入密码，但有时候商业应用，客户会感觉非常麻烦啦

pottery

不允许程序在root后的手机上使用

DDD888

pottery 发表于 19-8-2015 16:20
不允许程序在root后的手机上使用

Impossible

It is not under my control.I do not own the phone. User owns the phone. User decide if he want to root android phone or not. If I say no, I might lose the business opportunity.

trisun

use amazon cognito

DDD888

trisun 发表于 19-8-2015 18:48
use amazon cognito

应用是不连internet,所以也没有办法用amazon cognito

应用是local network

DDD888

trisun 发表于 19-8-2015 18:48
use amazon cognito

我昨晚仔细想了下你所给的思路，我感觉不可行

1 加密/解密这东西最好不要用大路货，如果大家都用，很容易引起黑客注意，一旦破了，所有的客户都破了
2 我实在想不出amazon如何通过设计，会设计的不可攻破的理由，你知道吗？
3 另外依赖第三方，增加了项目失败的一个可能

trisun

DDD888 发表于 20-8-2015 11:23
我昨晚仔细想了下你所给的思路，我感觉不可行

1 加密/解密这东西最好不要用大路货，如果大家都用， ...

设计的基本原则上 dont reinvent the wheel,  使用行业中的best practice ,　特别是加密解密，如果哪个黑客能破解ＡＥＳ２５６，ＳＨＡ２５６，他获得的名声和财富远比从偷盗你的客服信息大得多。

DDD888

trisun 发表于 20-8-2015 13:56
设计的基本原则上 dont reinvent the wheel,  使用行业中的best practice ,　特别是加密解密，如果哪个黑 ...

不需要破解ＡＥＳ２５６，ＳＨＡ２５６，不是前些时候有条新闻说中国的大学教授使用电子信息嘈声轻而易举的复制了电话sim卡吗？http://www.freebuf.com/news/74383.html 那电话sim卡其中的算法也是号称几十年破不掉，而且还引用美国政府需要黑客进入制造电话sim卡来复制了电话sim卡
另外那些大公司被黑客侵入盗取信用卡的数据不是基本上天天有报道吗？

google够大了吧，一行复制的代码就造成android可以被随意侵入

http://www.tomshardware.com/news ... -android,29871.html

相信自己比相信大公司要可靠的多啦

我有时候感觉reinvent the wheel这话其实挺害人的，阻碍了自己去做一遍，可能另僻佳境的机会啦

DDD888

I think that I found the solution.
http://blog.g4team.com/?p=5809