专业IM即时通讯软件开发,值得信赖!

APP自动登录加密流程

未分类 云聊IM 90℃

App登陆要实现的功能:

  • 密码不会明文存储,并且不能反编绎解密;
  • 在服务器端可以控制App端的登陆有效性,防止攻击者拿到数据之后,可以长久地登陆;
  • 用户如果密码没有泄露,不用修改密码就可以保证安全性;
  • 可以区分不同类型的客户端安全性;比如Android用户受到攻击,只会让Android用户的登陆失效,IOS用户不受影响。

App第一次登陆流程:

  1. 用户输入密码,App把这些信息用RSA公钥加密:(用户名,密码,时间,mac,随机数),并发送到服务器。
  2. 服务器用RSA私钥解密,判断时间(可以动态调整1天到7天),如果不在时间范围之内,则登陆失败。如果在时间范围之内,再调用coreservice判断用户名和密码。
  3. 这里判断时间,主要是防止攻击者截取到加密串后,可以长久地利用这个加密串来登陆。
  4. 如果服务器判断用户成功登陆,则用AES加密:(随机salt,用户名,客户端类型,时间),以(用户名+Android/IOS/WP)为key,存到缓存里。再把加密结果返回给客户端。
  5. 客户端保存服务器返回的加密串

App自动登陆的流程:

  • App发送保存的加密串到服务器,(加密串,用户名,mac,随机数)==>RSA公钥加密
  • 服务器用RSA私钥解密,再用AES解密加密串,判断用户名是否一致。如果一致,再以(用户名+Android/IOS/WP)为key到缓存里查询。如果判断缓存中的salt值和客户端发送过来的一致,则用户登陆成功。否则登陆失败。
  • 不用AES加密,用RSA公钥加密也是可以的。AES速度比RSA要快,RSA只能存储有限的数据。RSA算法最好选择2048位的。搜索” rsa 1024 crack”有很多相关的结果,google已经将其SSL用的RSA算法升级为2048位的。
喜欢 (0)
仿微信聊天软件开发
点击这里给我发消息