Android用户登录机制安全性的一些思考

1 客户端要做到安全存贮数据很难，通过反编译和强攻，只要有心，几乎都可以破解。

2 服务端相对安全。

3 结合以上两点，推出能做的点是控制灾难规模，每次破解一个客户端只能针对当前客户端，不会波及到其它客户端。

4 具体方案是，客户端也是要加密的，不过密钥是从服务端获取的，每个客户端不一样。

5 这样的话，即使攻破了一个客户端，只要服务器安全，损失的只是一个客户的利益，做到了灾难的控制。

6 只是一些思考，请大家不吝赐教。

7 http本省就是不安全的，看系统对安全性的需求，高需求的话就https吧，低需求就自己搞点md5什么的，但是不要指望能够抵御所有攻击。