Forum: Programmieren allgemein
by jfheins,
30. Jul 2012
Ja, schon. Das wird dann wohl OAuth sein. ( http://de.wikipedia.org/wiki/Oauth )
Zumindest bei Twitter braucht man keinen Passwort Hash (der Client bekommt also zu keinem Zeitpunkt dass Passwort zu sehen) aber da ist noch einiges an Hashing und so dabei. ( https://dev.twitter.com/docs/auth/authorizing-request )
Die Sache mit "Kein Passwort beim Client" ist dann auch schon das...
Forum: Programmieren allgemein
by jfheins,
30. Jul 2012
Mir ist nicht ganz klar warum du das Passwort auf dem Cient verschlüsselt (statt gehasht) speicherst.
Überhaupt könntest du darauf verzichten:
Nachdem sich der Benutzer auf dem Server angemeldet hat, generierst du einen komplett zufälligen Zugriffsschlüssel. (oder wie du es nennen möchtest)
Ein Zugriffsschlüssel ist genau einem Benutzer und einer Anwendung zugeordnet. Der Benutzer kopiert...