對我的Android應用程序進行身份驗證的最佳方法是什麼？

Question

我工作的一個Android應用程序，需要用戶與我們進行登記，然後再只可以訪問。用戶將得到的信息會非常敏感，所以我想要一個安全的方法來做到這一點。我從來沒有在Android上使用這種身份驗證功能，但是當我必須爲Web應用程序做類似的事情時，我會將密碼MD5散列在MySQL數據庫中。但我認爲這不是一個相當安全的方法，是嗎？

我能做些什麼，以確保我的用戶安全性，同時驗證呢？

另外，我可以使用OAuth這裏？

Answer 1

是的，你可以在Android上使用OAuth。你應該看看官方Android的oauth2培訓http://developer.android.com/training/id-auth/authenticate.html

如果您決定實現自己的身份驗證方法，然後儲存密碼將是棘手的。 MD5是不安全的，帶鹽的SHA-256可能就足夠了。在此方案中您存儲兩件事情：

1. 密碼哈希= SHA（密碼+鹽）
2. 的鹽，它是隨機的文字。

一個很好的教程和大量的關於這一主題的詳細信息可以在this page

如果你要處理高風險的數據可以發現，我建議你聯繫的安全專家誰可以幫助你建立一個適當的解。如果你自己沒有經驗，那麼很可能你會失敗。