相关疑难解决方法(0)

我正在创建一个使用用户名/密码连接到服务器的应用程序,我想启用"保存密码"选项,这样用户每次启动应用程序时都不必输入密码.

我试图使用共享偏好设置,但不确定这是否是最佳解决方案.

我将不胜感激任何有关如何在Android应用程序中存储用户值/设置的建议.

我正在尝试在我的REST服务中实现会话管理.我在冲浪时了解了这些指南:

1. 不使用服务器端会话 - 它违反了RESTful原则.

2. 使用HTTP基本身份验证 - 现在不可能,因为我被要求不使用SSL/TLS(毫无疑问需要Basic身份验证.)

3. 使用Http摘要 - 我听说这会增加网络流量.这听起来很昂贵,尤其是当我的客户端是移动设备时.

4. 使用cookies - 我被告知我不应该依赖cookie来保护我的重要资源,它们可以很容易地被欺骗.另外,我通过cookie了解了跨站点脚本攻击.

5. 我留下了生成身份验证令牌的选项,用户每次都必须发送 - 我承认这不是"完全"RESTful.

现在我需要知道,我应该如何生成这些唯一的身份验证令牌,这些令牌在业务级别上足够安全？泽西岛有一些图书馆吗？我应该去OAuth.我刚刚读了一些关于它们的内容,它们对我来说有用吗？请记住,我的目标客户端是移动设备 - 他们可以访问OAuth服务吗？

我想存储用于签署我在安全的地方开发的财务应用程序的密码.在做了一些网上冲浪后,我发现了以下选项,但每个选项都有一定的缺点.

1)KeyChain.
仅适用于OS版本4.

2)共享偏好.
它以纯文本形式存储数据,即使我加密数据,也可以通过反编译应用程序代码来破坏加密密钥.

3)访问密钥库守护程序并在其中存储凭据.
(http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html)需要记住另一个密码.

请建议我更好的方法来保护Android应用程序中的凭证信息,如IPhone KeyChain.