windows mobile的登录实现

Question

Windows 移动应用程序的凭据检查的好方法是什么？知道它是一个偶尔连接的设备。

我应该将用户凭据保存到本地数据库中吗？如果数据库中不存在该凭据，请尝试查看它是否可以访问互联网并通过网络服务进行检查？

如果两者都失败则显示错误消息？

如果登录成功，则将凭据存储到本地数据库存储，然后在下次登录时首先访问数据库？

这是一个好方法吗？

Answer 1

我们很难告诉您什么是“好的”方法，因为它很大程度上取决于您的需求、您的设备、您的网络以及许多其他因素。对于需要通过某些远程服务器进行身份验证的应用程序来说，您的过程似乎是合理的。只需考虑几件事：

• 您将如何存储本地凭据？ MD5 哈希值还是其他什么？
• 您是否正在向信用需要为 NTLM 的服务器之类的服务器进行身份验证，或者您只是进行本地应用程序身份验证？
• 如果用户丢失了设备而其他人找到了它，这会对您的身份验证过程产生什么影响？
• 如果他们没有网络，他们如何获得第一个身份验证？
• 您的网络服务的安全性如何？这还重要吗？

我确信还有其他好问题要问——这些只是我现在想到的问题。关键是，只有您知道您的应用程序需要什么级别的安全性以及用例是什么，因此判断一种方法是否良好的最佳人选就是您。

Answer 2

我在我们使用的移动软件中也有类似的情况，我们使用以下方法：

• 在设备上首次登录需要连接来验证凭据。
  它将在本地存储上次使用的用户名和密码的哈希值。
• 下次登录时，使用相同用户名将对输入的内容进行哈希处理
  密码并与本地密码进行比较。如果它们匹配，则用户
  无需互联网连接即可登录。如果失败了
  用户还有两次尝试，此时软件要求验证
  通过主服务器的凭据。
• 下次登录时，使用不同用户名将始终使用
  用于验证的互联网连接。如果它成功了，它就会随之而来
  再次执行第一步。

显然，您需要意识到这种方法很容易受到暴力攻击。您无法阻止黑客进行大量尝试。您只能尝试减慢它们的速度（使用慢速哈希算法和其他麻烦）。如果您确实担心此类攻击；使用连接的登录验证方法是您唯一的方法。

顺便说一句，还有其他事情需要考虑。设备连接频繁还是非常不频繁？当连接不可用时，是否有许多不同的用户登录设备？这些问题的答案可能会引导您实现单一登录。