esquiloesper...
Cyber Highlander
Moderador
7.1K Mensagens
2.2K Curtidas
O que é utilizado com muito sucesso é o sistema de chaves pública e privada; Certamente você já deve ter estudado este procedimento em Segurança da Informação.
Uma chave privada é conhecida apenas pelo sistema e pelo app, inacessível aos usuários.
A chave pública é gerada e concedida ao usuário através de canais pessoais e particulares, como o e-mail particular do usuário, por exemplo.
O uso do app é liberado depois que o usuário introduz a chave recebida no momento em que ele confirmar a inserção do código recebido, pelo qual uma mensagem de controle é enviada ao servidor, encriptada através da composição das chaves pública e privada e disparada automaticamente para confirmação. Ao recebê-la, o servidor comparara a mensagem recebida com a cópia gerada por ele pelo mesmo algoritmo. Daí, em caso afirmativo o servidor efetua o desbloqueio do aplicativo que então exibe a tela inicial ou apresenta uma mensagem de erro no procedimento.
Após o desbloqueio, toda a comunicação app/servidor será encriptada por meio desta combinação de chaves únicas e particulares para cada usuário.
Navegar é preciso, viver... também.
parcbjr
General de Pijama
Registrado
4.3K Mensagens
116 Curtidas
Kleber March...
Veterano
Registrado
322 Mensagens
291 Curtidas
Eu só acho válido constatar que somente "https" não quer dizer nada em questão de segurança em autenticação. Claro, é uma camada a mais mas não é tudo. Existem inúmeras questões referentes a autenticação que valem a pena serem estudadas, como por exemplo "nunca, jamais, em hipótese alguma, salva-se uma senha crua/literal em banco de dados". Como mencionado acima, recomendo o uso de frameworks que tratarão boa parte dessa questão para você.
joaobnv
Membro Senior
Registrado
76 Mensagens
22 Curtidas
Descobri uma forma. Usando https mesmo. Dá pra pegar informações https em Java no Android.
Sobre framework a equipe está analisando se usa CodeIgniter ou se faz sem framework. Se a gente usar o CodeIgniter vamos ter que ver como ele trata essa questão de armazenamento de senha. Se a gente decidir não usar esse framework, a gente vai usar uma criptografia unidirecional para armazenar a senha (provavelmente MD5), e poderíamos fazer uma análise sobre o uso de sal.