本人剛踏入這行不久，所以以下文章在高手眼裡可能比較稚嫩，還望高手看到後口下留情，另外歡迎提出意見。

由於公司不大，沒人帶，屬於單幹型，很多東西也只能摸索和搜尋。苦惱。

最近研究android手機端的 登入的 “記住密碼“功能。第一想到的就是sharedpreference中，也就是一個xml檔案中。但android手機一旦root後，那麼只要有人有心，還是能夠找到這密碼的。而且android目前程式碼混淆並不牢靠，要做逆向也沒那麼困難。

不知道各個app是怎麼實現這功能的，oauth我也沒研究。

研究了下各個app

1.首先是銀行的，銀行賬號密碼這是相當重要的，所以，這些app乾脆就沒做記住密碼，用一次，輸一次。既然沒做記錄，那麼這方面的安全也不用考慮了。不過大部分其他型別app考慮到使用者體驗，就不能這麼做了。

2.微博類，這些app很多采用oauth認證，這玩意，我也沒研究。但這類app每次做這些認證時，每次都得跳到網頁去，不太方便。主要oatuth主要還是針對向第三方提供一種認證。具體到其他應用，不太適合。

3. 其他大部分應用，像qq之類的，我們發現，這些應用記住密碼後，能用上一陣子，然後過一陣子就失效了。

所以這裡也選擇第三種方案，那麼那些app是怎麼實現的呢，怎樣才能保證”足夠“安全呢。注意這裡足夠之所以加引號，是因為既然存在本地，就肯定有辦法能夠通過各種手段獲取到，但只要我們能夠將安全性提高到一定等級，大部分人有這能力的人不會去做那麼費力不討好的事了。所以我們只需要把安全等級提高到一定層次，那麼基本也夠了。

-----------------------------------------------------------------------------------

這裡說下我的解決思路

首先，將密碼存在一個檔案中，比如android的sharedpreference中。那麼要獲取密碼很簡單，root後就能直接看到。

那好，第一段壁壘，給密碼加個密，當然是要可逆的加密。

這段壁壘要攻破，也不難，將app反編譯一下，找出相關的程式碼，那麼就能獲得密碼了。

當然其實要做到這步，要破這個密碼已經挺吃力了。但畢竟還是存在這個可能。

那再加一個安全壁壘，我們在檔案中儲存的是一段 驗證口令，具體是這樣

使用者輸入使用者密碼登入後，比如賬號abc，密碼123，伺服器返回一段口令 "[email protected]#2s"，以後使用者可以通過abc 和 [email protected]#2s 就能實現一定許可權的功能呢。注意是一定許可權，有些涉及到安全，比如修改密碼之類的，還得使用者輸入密碼才能實現。 而且這段口令 [email protected]#2s 只在手機中儲存一段時間，比如15天，15天之後，口令失效，需要使用者重新登入，獲取新的口令。而且當然我們需要對這段口令進行加密後再儲存。

這樣一來，也就實現了上面所說的第三類app的加密方式。

如果你的app真不幸被有心人通過反編譯，root，之後，獲取到了那段口令，但那口令也只能進行一定許可權的操作，而且還是帶有時限的，所以至少也把損失給降到了最低。