[发明专利]移动应用程序的密码保护方法、装置及计算机存储介质

说明书

一种移动应用程序的密码保护方法和装置。其中，所述方法包括：方法，服务器接收客户端发送的登陆信息，其中登陆信息包括经过加密处理的用户名和密码；服务器对所述用户名和密码进行解密，并判断用户名和密码是否正确；如正确，服务器进行加密形成加密串和密钥并保存；服务器向客户端返回加密串。该方法能够实现应用程序的密码不会明文存储，并且不能反编绎解密；并且在服务器端可以控制应用程序的登陆有效性，防止攻击者拿到数据之后，可以长久地登陆；此外，该方法还可以区分不同类型的客户端安全性。

技术领域

本发明属于计算机领域，具体涉及移动应用程序的密码保护方法、装置及计算机可读存储介质。

背景技术

在互联网+时代，移动APP已经渗入到我们的生活，移动化逐步渗透到人们的衣食住行等各个领域，移动应用上的数据安全性越来越得到重视。越来越多的移动APP需要用户登录，并提供了用户首次登录之后的自动登录服务，移动APP对用户登录信息的保存就要有针对性的安全处理。

移动APP在用户手动输入账号和密码登录成功后，将密码经过MD5加盐计算后保存在本地文件里，在下次登录时将该密码取出使用。

MD5算法是一种被广泛使用的密码散列函数，可以产生出一个128位的散列值，用户确保信息传输的完整一致性。这种算法单向不可逆，但是可以通过暴力枚举法、字典法进行MD5碰撞得到同样的原明文密码，这样就会造成用户密码泄露。

发明内容

针对于上述现有技术的不足，本发明的目的之一解决现有技术中登陆应用程序可能造成的密码泄露问题。

本发明实施例公开了一种移动应用程序的密码保护方法，服务器接收客户端发送的登陆信息，其中登陆信息包括经过加密处理的用户名和密码；服务器对所述用户名和密码进行解密，并判断用户名和密码是否正确；如正确，服务器进行加密形成加密串和密钥并保存；服务器向客户端返回加密串。

在一个可能的实施例中，所述登陆信息还包括登陆期限；服务器对所述用户名和密码进行解密，并判断用户名和密码是否正确包括：服务器使用RSA私钥解密，判断登陆期限是否在预设期限范围之内；如果在所述预设期限范围之内，则判断用户名和密码是否正确；否则登陆失败。

在一个可能的实施例中，所述服务器进行加密形成加密串并保存包括：服务器进行加密形成加密串，其中加密串包括随机salt值,用户名,客户端类型以及登陆期限，密钥包括用户名和操作系统名称；服务器存储所述加密串和密钥。

在一个可能的实施例中，还包括：当服务器接收到客户端发送的包括所述加密串的自动登陆信息时，服务器解密加密串并判断用户名是否一致；如一致，则通过所述密钥访问服务器，并判断salt值与服务器存储的加密串中的salt值是否一致；如一致，则登陆成功；否则登陆失败。

在一个可能的实施例中，服务器采用AES或RSA方法进行加密。

本发明实施例还公开了一种移动应用程序的密码保护装置，接收模块，用于接收客户端发送的登陆信息，其中登陆信息包括经过加密处理的用户名和密码；处理模块，用于对所述用户名和密码进行解密，并判断用户名和密码是否正确；如正确，进行加密形成加密串和密钥并保存；响应模块，用于向客户端返回加密串。

在一个可能的实施例中，所述登陆信息还包括登陆期限；处理模块还用于使用RSA私钥解密，判断是否在预设期限范围之内；如果在所述预设期限范围之内，则判断用户名和密码是否正确；否则登陆失败。

在一个可能的实施例中，处理模块还用于：进行加密形成加密串，其中加密串包括随机salt值,用户名,客户端类型以及登陆期限，密钥包括用户名和操作系统名称；存储所述加密串和密钥。