android - 客户端 - 服务器通信和安全
问题描述
我正在构建一个 Android 应用程序,它允许用户创建一个帐户并将一些数据在本地插入到 SQlite 数据库中。该应用程序将能够将其本地数据库与服务器上的数据库同步。
因为这是我第一次尝试实现这样的东西,所以我对传输数据的安全性有一些疑问。
在用户登录、注册和数据同步期间,我一般考虑使用基本身份验证。每次通话时,我都会将邮件和密码(通过 HTTPS)发送到服务器。从那里(使用我的托管凭据进行数据库连接)我将创建到服务器数据库的连接,并且使用用户的凭据,用户将能够访问他自己的数据。安全方面,使用 SSL 是否足够,或者我还应该对密码进行哈希处理以提高安全性?
就用户身份验证而言,在我的情况下,我认为基本身份验证比使用 cookie 或 JSON Web 令牌更方便,因为用户将始终保持“登录”状态。不过,我已经阅读了基本身份验证 - 更多足够的。你能对此提出一些建议吗?