Login realisieren

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Login realisieren

    Hallo zusammen,

    ich wollte euch mal fragen, wie ihr einen Login realisiert.

    Es geht mir nicht um irgendwelchen vorgefertigten Code, vielmehr um die Art und Weise wie ihr einen Login umsetzt.

    Ich hatte mir das so vorgestellt :

    1. LoginPage (Start ViewController der App)
    2. User loggt sich ein, Daten werden mit der MySQL Datenbank abgeglichen und wenn zulässig, dann speichere ich die Daten in NSUserDefault.
    3. User wird in den geschützten Bereich geleitet.
    4. Macht er die App erneut auf, prüft die LoginPage, ob die NSUserDefaults gesetzt sind und leitet automatisch auf den geschützten Bereich weiter.

    Kann man das so machen? Bzw. sollte man es anders machen? In der Webprogrammierung würde das ganze ja mit einer SESSION umgesetzt. Letztendlich ist das aber ja auch nix anderes. Natürlich sollte man hier vielleicht noch nach einer gewissen Zeit die NSUserDefault löschen? Wobei der User sich ja eigentlich ungern erneut einloggen möchte.

    Danke für eure Tipps :)

  • Dir ist schon klar, dass die UserDefaults einfache SML Dateien sind in denen dann Deine Logindaten im Klartext drin stehen? Also jeder der ein Jailbreak drauf hat, kann die dann einfach auslesen. Keine gute Idee.

    Genau für sowas hat Apple die Keychain erfunden und die sollte man dafür auch tunlichst benutzen.

    Gruß

    Claus
    2 Stunden Try & Error erspart 10 Minuten Handbuchlesen.

    Pre-Kaffee-Posts sind mit Vorsicht zu geniessen :)

  • Thallius schrieb:

    Dir ist schon klar, dass die UserDefaults einfache SML Dateien sind in denen dann Deine Logindaten im Klartext drin stehen? Also jeder der ein Jailbreak drauf hat, kann die dann einfach auslesen. Keine gute Idee.

    Genau für sowas hat Apple die Keychain erfunden und die sollte man dafür auch tunlichst benutzen.

    Gruß

    Claus


    Ja kam mir schon sehr komisch vor, deswegen dachte ich mir auch ich frag mal lieber hier kurz nach was ihr davon haltet.
    Mit dem Jailbreak das leuchtet mir nicht ganz ein, also letztendlich gehört demjenigen, der ein Jailbreak drauf hat, ja das Smartphone. Daher sind es ja auch seine Zugangsdaten oder versteh ich das falsch?

  • wie schon gesagt wurde gehören logindaten in die keychain. desweiteren noch zwei punkte:

    1. keine direkte verbindung zu einer DB aufnhmen (nur über einen https-webservice).

    2. nicht das passwort an den server schicken sondern nur einen hash davon (bitte nicht MD5). der server sollte nur diesen hash gespeichert haben und nicht das klartextpassword (wir sind ja nicht bei sony ;-)).

  • gritsch schrieb:

    wie schon gesagt wurde gehören logindaten in die keychain. desweiteren noch zwei punkte:

    1. keine direkte verbindung zu einer DB aufnhmen (nur über einen https-webservice).

    2. nicht das passwort an den server schicken sondern nur einen hash davon (bitte nicht MD5). der server sollte nur diesen hash gespeichert haben und nicht das klartextpassword (wir sind ja nicht bei sony ;-)).


    Ja das wird definitiv so gemacht. Hatte mich in meinem Post nicht ganz deutlich ausgedrückt :)

    gritsch schrieb:

    DKCode schrieb:

    Mit dem Jailbreak das leuchtet mir nicht ganz ein, also letztendlich gehört demjenigen, der ein Jailbreak drauf hat, ja das Smartphone. Daher sind es ja auch seine Zugangsdaten oder versteh ich das falsch?


    wenn du dir auf deinem gerät dann eine furz-app installierst, kann diese die gesamten files des gerätes lesen und diese auch nach hause senden!


    Ok jetzt habe ich es verstanden. Danke dir

  • DKCode schrieb:

    gritsch schrieb:

    wie schon gesagt wurde gehören logindaten in die keychain. desweiteren noch zwei punkte:

    1. keine direkte verbindung zu einer DB aufnhmen (nur über einen https-webservice).

    2. nicht das passwort an den server schicken sondern nur einen hash davon (bitte nicht MD5). der server sollte nur diesen hash gespeichert haben und nicht das klartextpassword (wir sind ja nicht bei sony ;-)).


    Ja das wird definitiv so gemacht. Hatte mich in meinem Post nicht ganz deutlich ausgedrückt :)

    gritsch schrieb:

    DKCode schrieb:

    Mit dem Jailbreak das leuchtet mir nicht ganz ein, also letztendlich gehört demjenigen, der ein Jailbreak drauf hat, ja das Smartphone. Daher sind es ja auch seine Zugangsdaten oder versteh ich das falsch?


    wenn du dir auf deinem gerät dann eine furz-app installierst, kann diese die gesamten files des gerätes lesen und diese auch nach hause senden!


    Ok jetzt habe ich es verstanden. Danke dir


    Poste doch mal bitte einen Link zu dem Webservice ...
    Ich bin gegen Signaturen!!!

  • beage schrieb:

    DKCode schrieb:

    gritsch schrieb:

    wie schon gesagt wurde gehören logindaten in die keychain. desweiteren noch zwei punkte:

    1. keine direkte verbindung zu einer DB aufnhmen (nur über einen https-webservice).

    2. nicht das passwort an den server schicken sondern nur einen hash davon (bitte nicht MD5). der server sollte nur diesen hash gespeichert haben und nicht das klartextpassword (wir sind ja nicht bei sony ;-)).


    Ja das wird definitiv so gemacht. Hatte mich in meinem Post nicht ganz deutlich ausgedrückt :)

    gritsch schrieb:

    DKCode schrieb:

    Mit dem Jailbreak das leuchtet mir nicht ganz ein, also letztendlich gehört demjenigen, der ein Jailbreak drauf hat, ja das Smartphone. Daher sind es ja auch seine Zugangsdaten oder versteh ich das falsch?


    wenn du dir auf deinem gerät dann eine furz-app installierst, kann diese die gesamten files des gerätes lesen und diese auch nach hause senden!


    Ok jetzt habe ich es verstanden. Danke dir


    Poste doch mal bitte einen Link zu dem Webservice ...


    Den Webservice programmiere ich selber. HTTPS bzw. SSL-Schutz stellt ja mein Server bereit.