怎么保证数据的安全 热：操作报错

引用来自“shijacky”的评论

1. token 与本地IP,或者user agent做关联，具体可以取如手机硬件参数等,这样可以防止拿token到其它地方用的问题，但还是不能解决全部，因为理论上来说，客户端所有东西都可以伪造成和原来的一模一样
2. 就是对于一些敏感操作，如转帐，改密等，需要进行密码或者令牌的二次确认

1   漏洞   盗窃都也可以获取本地IP  use agent等相关数据   再通过分析apk代码  解密
2   这是一个好方法   不过此处只讨论没有第三方输入的情况 ###### 昨晚灵泉涌现   想到一个解决方案   早上来不及洗刷   电脑一查  果然OK
4   client端获取token后   通过native代码获取app签名文件内容   此处指android  app打包时的签名文件  ios wp8请自行对照  结合token+签名内容+S  使用公钥加密后发送给server端验证  OK
    漏洞  无
签名文件内容必须在app运行之后才可以得到  分析apk原文件无法得到
   注   S为随机数  server端维护 ######回复 @欣儿 : 是的 所以下面我评论了 本来我以为这个内容第三方获取不到 既然能获取就没有意义了 这个方案里的内容 必须要满足私有 值固定 系统级 才可行######这个，还是可以破解吧，安卓的可以获取运行时数据，就是说，只要运行，签名这些也可以得到######果然是我高兴的太早 经过验证 第三方同样可以通过native代码获取签名内容 所以这个方案存在漏洞######我记得是：签名是可以通过apk 的pakageInfo获取到的。如果查询所有的安装包的签名信息，找出包名一样的签名信息。会不会就破解了呢？######你说的签名文件内容是什么？sha1?######家门钥匙丢了，自己却不知道，此时如何防盗？######你这个比喻不恰当 client和server的通信 是联机操作 不是单机操作 单机操作当然没有安全可言