登录安全

最近打算自己开发独立App，那么首先考虑的就是账号密码的网络传输安全，也就是所谓的登录安全。

1. HTTPS通信框架下；
2. 加固后的.so文件，通过验证App签名，返回RSA公钥；
3. 通过RSA公钥加密用户名密码，上报服务器；
4. 服务器通过私钥解密取得用户名密码，验证用户名密码合法性，返回jwt的token；

—————-7月7日更新————————-

最近正好负责了PKI，了解了双向认证机制，那么自己的安全可以完全使用双向认证来玩了：

1. 找个免费的tsl证书，配置好https双向认证。
2. 在建立连接握手时采用非对称加密，传输使用对称加密，已经非常安全了，但是握手过程速度很慢，所以需要配合链接保活。
3. 重要信息使用双向认证，非重要信息可以采用单向认证。如果全采用双向，则任意浏览器不具备自颁发证书，就很麻烦了。
4. 客户端可以使用android的密钥库。