android向服务器发送账号密码验证通过后,我们不应该只放回一个成功或失败。
如果我们这么做了-
一旦登录完成,用户后续的操作如修改头像等,需要向服务器发送账号和新头像的文件,这样是不是我们不需要登录,只要知道账号就可以更换头像呢?
为了解决这个问题一个简单的方法是-
登录成功时,服务器生成一个对应账号的登录码,每次登录刷新,可以账号+时间+随机数的结构,将账号,和登录码保存在数据库,每次用户操作时发送登录码加操作,即可完成简单的账号安全保护。
android向服务器发送账号密码验证通过后,我们不应该只放回一个成功或失败。
如果我们这么做了-
一旦登录完成,用户后续的操作如修改头像等,需要向服务器发送账号和新头像的文件,这样是不是我们不需要登录,只要知道账号就可以更换头像呢?
为了解决这个问题一个简单的方法是-
登录成功时,服务器生成一个对应账号的登录码,每次登录刷新,可以账号+时间+随机数的结构,将账号,和登录码保存在数据库,每次用户操作时发送登录码加操作,即可完成简单的账号安全保护。