android 上，大家有用 BCrypt 算法给用户密码加密的么？ help！！！！

大家有在 android 客户端给用户密码用 bcrypt 加密的么？我拷了 bcrypt 的 java 源码，但是加密很耗时，有什么好办法减少加密时间么？

jarlyyn

2017-03-17 17:33:44 +08:00

@lslqtz

我的意思是，登录的时候用加密的

登录好后换 token,之后都用 token 啊。

你不可能所有用户都同时需要登录吧？

5/10 天登录一次，慢点也无所谓吧？

spongebobsun

2017-03-17 19:04:29 +08:00

https://github.com/PuffOpenSource/Puff-Android

可以参考下 https://github.com/PuffOpenSource/Puff-Android/blob/master/app/src/main/java/sun/bob/leela/runnable/CryptoRunnable.java 这个

其他代码有点乱，还没时间重构……

我觉得我这个项目是滥用 EventBus 的教材…………(´･Д･)」

spongebobsun

2017-03-17 19:06:35 +08:00

@spongebobsun 楼主请忽略我…我这个并没做优化…可以考虑 c 实现然后 jni

lslqtz

2017-03-17 20:30:31 +08:00

@jarlyyn 也看并发来着。。
像是大网站之类的

klesh

2017-03-17 22:54:14 +08:00

@lhbc 服务端拿到明文后是 hash 后再对比，原则上一个正常的系统不应该存储明文。所以你说的运营人员能接触到这中间的明文我想他们得种马才能达成吧？若运营人员都能在服务器种马了，那你要担心的可远远的不止所谓的明文密码了吧。再说这个运营已经有无限权限了，套出客户明文密码并非难事！
再退一步说，登录成功后你要不给 token 要不 cookie 。若不上 https ，你怎么解决重放的问题？

lhbc

2017-03-17 23:22:57 +08:00

@klesh
1. 我没有说过不上 https
2. 运营跟运维不是一个岗位，也不是一个团队

lslqtz

2017-03-18 23:20:02 +08:00

@klesh
用真实 IP 做 token 呢？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/348023

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.