关于app的安全性问题

• 最近无意间没事的时候，听了一节公开课，受益匪浅。防止以后忘记，所以在此记录一下。
  app的安全性一直是比较重点的话题。一个app如果没有经过深思熟虑的安全考察，一旦被黑客攻克，那么后果将不堪设想。
  一般没有绝对安全的app，我们只能设定为相对安全。那么，一个app的相对安全是指的什么呢？

app被破解的成本 > app所产生的利益

那么此时，就说明，我们的app是相对安全的。

例如，我们app的登录安全性问题。
我们都知道app的登录密码需要加密，那么，当前的加密方式有散列加密，对称加密，非对称加密等等。
在过去做app加密的时候，我们通常直接将app的密码直接保存在服务器，然后有找回密码的功能，其实这个是非常不安全的，如果我们的app有几十万用户的时候，黑客一旦破解了我们的服务器，那么我们用户的密码就会暴露在黑客的眼下，造成的损失将是我们无法估量的。
所以，一般都会对app进行MD5加密，然后将其保存在服务器，因为MD5是一种不可逆的加密方式，如果黑客破解，他们也无法得到想要的结果。但是，现在竟有公司或者某个地方统计每个数字或者字符以MD5的方式，数以亿万级的保存这些东西，然后暴力破解我们的这些数据。实在让人难以置信。

• 所以，开发者为了防止这些发生，就对当前的密码进行加盐，并把加盐的一些东西放在当前app里面。但是这也是非常不安全的，现在逆向技术已经很深入了，破壳然后破解你app里面的加盐常量也只是时间问题，所以，这必然也是不行的。况且最危险的人还是开发者，知道这个加盐变量，无疑对公司造成一定的影响。
• 随后，又有人发现了一些技巧，就是利用随机数来随机生成MD5，这样就能防止开发者或者暴露的全部对象。常见的有HMAC加密。思路是:

服务器根据用户名（userid）随意创建一个key，然后根据这个key返回给客户端，客户端根据这个key给每个用户的密码进行HMAC加密，随后根据这个加密匹配服务器即可。

这样做，即使黑客破解了，也只是破解了一个用户，其他用户也不会受到影响。

• 但是此时，又有一个问题，很多人完全都不需要你这个密码是什么，直接抓包或者破解拿到你这个md5的串，然后根据这个串请求服务器，这样就相当于模拟登陆了。此时也相当于获取了用户的信息。解决方法:

根据这个方式，我们在加密的字符串中加上时间 当前年月日， 当然这个时间是从服务器那边返回的，然后根据这个时间去拼接字符串，
随后再进行MD5加密，然后去请求服务器。服务器根据这个串在2分钟或者设定时间以内去遍历然后验证。这样就避免了黑客早早的拿到
我们的这个串一直作请求。

以上就是听取公开课的重点内容，还是比较有益处的。如果你有更好的防范方法，欢迎给我留言一起交流。