iOS Swift 3“登录”应用程序:存储/传递用户的最佳方法
iOS Swift 3“登录”应用程序的存储/传递用户的最佳方法取决于应用程序的需求和安全性要求。以下是一些常见的方法:
- 本地存储:可以使用本地存储来保存用户的登录信息,例如用户名和密码。在iOS中,可以使用UserDefaults来实现简单的本地存储。但是,出于安全性考虑,不建议将用户的密码明文存储在本地。相反,可以使用加密算法对密码进行哈希处理,并将哈希值存储在本地。
- 令牌验证:在登录成功后,服务器可以生成一个令牌(Token),并将其返回给客户端。客户端可以将令牌存储在本地,以后的每个请求都将该令牌作为身份验证凭据发送给服务器。这种方法可以避免在本地存储敏感信息,但需要服务器端的支持。
- OAuth:OAuth是一种开放标准,用于授权第三方应用程序访问用户的资源。通过使用OAuth,用户可以使用其现有的身份验证凭据(例如,Google或Facebook帐户)登录应用程序。这种方法不需要应用程序存储用户的登录信息,而是依赖于第三方身份验证提供商来验证用户身份。
- Keychain:Keychain是iOS中的安全存储机制,用于存储敏感信息,例如密码和令牌。Keychain提供了加密和安全的存储,可以防止未经授权的访问。可以使用Keychain来存储用户的登录信息,并在需要时从Keychain中检索。
需要注意的是,无论使用哪种方法,都应该采取适当的安全措施来保护用户的登录信息。例如,使用HTTPS来加密数据传输,避免在日志或错误消息中泄露敏感信息,以及定期更新应用程序和服务器的安全补丁。
腾讯云提供了一系列与身份验证和安全相关的产品和服务,例如腾讯云密钥管理系统(KMS)用于保护密钥,腾讯云访问管理(CAM)用于管理用户权限,腾讯云安全加速(SSL)用于提供HTTPS加密等。具体产品和服务的介绍和链接地址可以在腾讯云官方网站上找到。
相关·内容
2回答
开发企业iOS 7移动应用程序,目前用户将使用他的凭据(用户名和密码)对专用服务器进行身份验证。
但我们也需要提供离线身份验证,因为网络连接是一个主要问题。
所以有一种方法是:
对于第一次登录时间,用户必须处于联机模式。
用户通过身份验证。
在iOS应用程序中缓存密码散列
如果脱机模式使用哈希验证。
这个方法好吗?或
仅仅利用iOS密钥链功能来存储密码是更好的方法吗?
浏览 2提问于2014-02-22得票数 0
回答已采纳
我们有一个移动应用程序,这是需要通过WSO2应用程序接口管理器来访问一些API。由于oauth2身份验证,我们需要在手机应用中存储用户名和密码,这样安全吗?例如,用户名和密码可以用于登录API Store,对于这种情况,有什么替代方案吗?
浏览 1提问于2013-08-27得票数 2
3回答
我有一个非常简单的问题,我有一个node.js/express服务器,它将处理后端身份验证部分,它使用的是令牌而不是cookie,服务器部分工作正常,只要有人注册/登录它就会返回一个JSON web令牌。
例如:
{
"token" : "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdW"
}
我正在使用Alamofire来处理来自iOS本身的HTTP请求。真正的问题在于我如何将令牌保存在iOS/Swift本身中?
做这件事最简单的方法是什么?
浏览 10提问于2016-05-17得票数 0
回答已采纳
2回答
存储命令的访问和刷新令牌
、、、
我计划为受OAuth 2 (JWT)保护的web开发一个命令行客户端。访问令牌和刷新令牌的有效期分别为5分钟和30分钟。由于用户在一次会议(例如测试或调试会话)中使用命令行客户端的时间超过五分钟,因此需要将刷新令牌存储在本地计算机上,以便只需要在会话开始时进行一次身份验证,而不是稍后进行身份验证。
我想知道在哪里可以安全地存储刷新令牌。用户主目录中的文本文件听起来可能不是很糟糕,因为这也是用户存储其所有私人文档的位置。但是,同一用户运行的任何其他应用程序都可能读取该令牌并滥用它。
对于这样的问题,常见的解决方案是什么?
浏览 0提问于2019-09-26得票数 1
我正在创建一个跨平台应用程序,在该应用程序中,我使用AES-GSM加密所有数据.因此,我的问题是,我想在用户的设备( Android、IOS、Web等)上本地存储私钥。但由于登录,我有多个选项,即生物识别(在脱机情况下),PIN,OTP,电子邮件密码,或登录谷歌。
因为认证主要是使用Firebase身份验证,而且用户也可以脱机打开应用程序,在之前登录一次之后,使用生物识别或PIN。我怎样才能储存秘密钥匙?对于PIN,我也使用盐度散列来存储它,因此我不能基于PIN加密密钥,因为用户还可以选择使用生物特征登录,这只能返回true或false。有人能给我建议解决办法吗?
浏览 0提问于2021-10-19得票数 0
回答已采纳
我的应用程序登录通过向服务器发送带有登录信息(电子邮件和密码)的http post请求来工作,接收身份验证令牌,然后发送回auth令牌以获取加载在配置文件页面上的用户信息。
我不知道如何构造自动登录过程。我正在考虑将auth键存储在密钥链中,并在每次打开应用程序时,使用存储的密钥向服务器发出请求,以检索配置文件信息。
这样做明智吗?还是更好地存储电子邮件和密码,并通过这些自动登录过程?
永久归属于用户信息的auth密钥可以吗?
浏览 0提问于2018-12-19得票数 1
3回答
将密码保存到本地设备
、、、、
因此,在我的应用程序(iOS)中,您必须注册才能使用该服务(一种食品服务)。但是,为了更改帐户的详细信息(用户名、密码和电子邮件),您必须重新输入您的密码。除了用户注销,这是您唯一一次需要您的密码使用应用程序。所以我想知道,因为用户基本上从不使用他们的密码,而且他们很可能会在一次需要密码的时候忘记密码,如果我将他们的密码存储到他们的本地设备上(在NSUserDefaults中),可以吗?
因为他们的密码只在他们的本地设备上,这看起来不像是一个安全风险。如果这个应用程序被黑了,他们唯一能得到的密码就是他们自己的密码。
此外,我还计划将其存储为一个字符串(没有加密)。如果在将密码保存到缺省值之前对
浏览 0提问于2012-07-21得票数 3
回答已采纳
我正在尝试使用Google App Engine作为本地运行在android上的移动应用程序的身份验证服务器。用户名和密码将存储在GAE中,我的目标是能够使用GAE存储和验证移动应用程序的凭据。这个是可能的吗?我已经研究了OAuth和JSON,但我不认为我有适当的设置。
另外,如果我走错了路,请告诉我正确的道路。
浏览 1提问于2011-01-03得票数 3
第三方应用程序是否可以逻辑地使用Touch ID对使用OAuth2的web服务进行身份验证?
假设我拥有一个需要使用OAuth2进行身份验证的web服务。它支持两个 (虽然我可以在必要时增加对其他赠款的支持)。
第三方有一个使用此web服务的移动应用程序。它打开一个本机web视图进行身份验证,并在其中加载我的auth URL。用户在我的域中输入他们的用户名/密码,然后我将一个OAuth令牌返回给应用程序。
如果这个应用程序想要实现Touch ID来加速身份验证,有什么方法可以用OAuth2?来实现呢?
我的理解是,OAuth2隐式和auth代码授权的目的是防止父应用程序访问用户的凭据。它只能访
浏览 3提问于2017-08-22得票数 7
据我所知,目前还没有在FirefoxOS中保存凭据的标准方法。没有比安卓更像AccountManager的东西了。因此,每个应用程序都必须自己保存凭证。这意味着您必须退回到本地存储或indexeddb之类的东西中。
我不确定是否有更好的方法来处理这个问题。我有一个应用程序,我想保存用户/密码,以便更容易在couchdb服务器上运行。
我目前的解决方案是创建一个只在本地使用的PouchDB数据库和一个可以与couchdb服务器同步的PouchDB数据库。此外,理论上,我可以将更改事件绑定到本地私有数据库,以侦听密码更改以使用不同的凭据进行重新身份验证。当cookie过期时,我可以重用凭据再次登
浏览 3提问于2015-01-09得票数 3
1回答
我刚开始学习身份验证和授权,并试图了解REST的JWT和OAuth。
我一直在做一些研究,但仍有几点不清楚:
JWT
令牌是否包含所有信息以验证请求是否安全?换句话说,当在服务器上生成令牌时,是否需要将它与用户名/ id一起保存在数据库中,以便与对API进行的每个后续调用进行验证?
JWT在HTTP上是否足够安全,还是需要HTTPS?
OAuth
据我所知,我可以使用OAuth将授权委托给第三方应用程序(Facebook为例)。如果身份验证成功,我将从身份验证调用接收一个令牌。然后,我可以使用这个令牌来传递对我的API的所有调用,因为令牌是由一个可信的第三方应用程序(Fac
浏览 4提问于2016-08-03得票数 0
回答已采纳
在云函数中,最好使用firebase命令,然后使用(例如,functions.config().stripe.secret_key )还是Google秘密管理器?从我不知道的文档中,我只知道唯一不使用的是本地env,而firebase函数配置实际上是服务器端的,所以没有公开任何内容。
浏览 7提问于2022-06-27得票数 0
回答已采纳
4回答
一个供应商API文档提到他们的API调用需要使用HTTP身份验证方案,即用户:密码Base64编码,但是他们的令牌API (登录等效)文档提到"..this服务实现OAuth 2.0 -资源所有者密码和凭据授予“
HTTP基本身份验证是否与OAuth不同?
浏览 4提问于2017-07-31得票数 7
回答已采纳
3回答
反应认证处理
、、、
我是FrontEnd dev,他对安全性不太熟悉。
目前,我正在将用户的userId存储在web localStorage上。
通过使用userId,我们可以向服务器请求有关用户信息。
问题是,我有点担心这种处理userId的方法是否会有潜在的危险。
当然,如果用户试图使用其他userId值进行请求,他们可以获得其他用户的数据(但不能获取诸如电子邮件或密码之类的私有信息)。
我允许用户获取其他用户数据的原因是在其他用户需要时(比如在配置文件页面上)检查其他用户的配置文件。
最后,在我的本地存储中,存储了userId,它允许用户少登录,以检查用户是否在当前路由中进行身份验证。这不是很脆弱吗?
你
浏览 10提问于2022-06-09得票数 0
回答已采纳
3回答
是否可以将用户凭据(用户名/密码)存储在JWT中(因此,sign it和稍后生成的令牌verify )?
我说
不,在JWT中发送密码是不安全的。这是因为JWT声明是简单的编码,任何看到它们的人都可以很容易地解码。在返回给用户的JWT中存储任何敏感信息是不安全的。
但我不知道为什么JWT网站会使用它进行身份验证:
什么时候应该使用JSON令牌?
以下是一些JSON令牌有用的场景:
身份验证:这是使用JWT最常见的场景。一旦用户登录,每个后续请求都将包括JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用的一种特性,因为它开销小,而且可以轻松地在不同的域上使用。
浏览 11提问于2017-03-07得票数 19
回答已采纳
当用户登录到服务时,我应该将令牌存储在哪个位置?我保存的不是密码(显然是我会用到钥匙串的地方),而是令牌。很多地方都说只使用NSUserDefaults,但StackOverflow上的一些人似乎真的很热衷于使用Keychain。
NSUserDefaults还好吗?
浏览 0提问于2013-05-28得票数 75
回答已采纳
我的应用程序需要登录,而且我有Remember username and password的能力。然后将用户名和密码存储在
LocalStorage.setItem(用户名,用户名);
这种存储用户名和密码的方法有多安全?我担心的是,特别是在Android上,其他应用程序是否能够访问这些数据并获取登录信息。
这个应用程序是针对iOs和安卓的,我使用的是PhoneGap 2.9。
浏览 7提问于2013-08-09得票数 17
5回答
我正在建立一个网站,使用谷歌的OAuth2界面进行用户认证。该网站将存储与每个用户相关的私有数据--我计划对其进行加密。
如果我为网站实现了自己的身份验证方法,我可以很容易地从用户的凭据(包括用户的密码)中派生出一个密钥,从而使每个用户的数据都受到强烈的保护。但是使用OAuth2,我相信我只能接收一个访问令牌,授予用户一段时间的权限--问题是访问令牌值将随着时间的推移而改变。
有没有一种方法可以让OAuth2为我提供一个与用户相关联的不可变的秘密,我可以用它来派生一个安全密钥?或者是否有其他方法可以使用OAuth2创建安全的持久秘密?
--编辑--
在回答这些问题和评论时,以下是一些需要考虑的
浏览 4提问于2014-09-13得票数 16
我的应用程序(像大多数)将利用许多远程服务……因此,当用户验证自己的身份时,我需要存储他们的用户名和密码(或某种标志),这样他们就不必在整个应用程序中进行身份验证。
存储此用户数据的最好/最快/最简单的位置在哪里?
浏览 1提问于2011-05-12得票数 6
回答已采纳
我正在OAuth上开发一个Twitter应用程序,我想在将来提供发布更新的能力。
基本计划是每小时运行一次脚本,查找需要发布的任何更新,然后对适当的用户进行身份验证,并使用statuses/update API调用。
但是,我不知道如何使用OAuth来实现这一点。我显然不想存储他们的用户名和密码--这与最初使用OAuth的目标不符。
但是,如果这是唯一的选择,那么我如何不存储他们的密码的明文副本,而仍然对他们进行身份验证呢?
浏览 4提问于2009-05-22得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
