Как сделать возможность заходить в аккаунт на разных устройствах?

Question

[StynuBlizz]

Делаю так
• Пользователь логиниться
• Выдаю ему токен и сохраняю в SharedPreferences
• При запуске программы в методе oncreate проверяю наличие токена в SP, если он есть то запускается окно профиля, если нету тогда окно входа
Так вот как мне нужно сделать чтобы можно было заходить с разных устройств под один аккаунт (так как если я зайду делая все по этой схеме токен для прошлого аккаунта перестанет действовать)?

Answer 1

[Денис Загаевский]

Токен же где-то хранится на сервере. Выдавайте один и тот же для одного аккаунта.

Comments

[StynuBlizz]

А как его тогда заменять?

[Денис Загаевский]

StynuBlizz: если надо заменять, то наверное надо хранить список токенов - по одному на устройство. А, собственно, зачем его заменять?

[StynuBlizz]

Ладно с этим разобрался,спасибо.И еще вопрос а как их безопасно хранить?На клиенте в SP безопасно?И на сервере в БД я так понимаю нужно хранить хэш токена а не сам токен?

[StynuBlizz]

Ну и в общем какие нюансы по поводу безопасности есть?

[Денис Загаевский]

StynuBlizz: sp можно смотреть, если есть рут. То есть имея физический доступ к устройству, можно вытащить токен. Но в таком случае можно и просто в приложение зайти.
Передавайте только через хттпс. Любой способ, которым вы спрячете, ломается, кроме пина на вход в приложение. Ещё есть KeyStore, можно его приспособить, он усложнит взлом.

[StynuBlizz]

А по поводу БД?

[Денис Загаевский]

StynuBlizz: а что БД? Это по факту просто файл, который так же можно посмотреть. Даже если вы поставили пароль - где его хранить?

[StynuBlizz]

Нет,я имею ввиду в БД хранить хэш токена?

[StynuBlizz]

Чтобы если бд и утекла то с помощбю этого токена зайти нельзя было

[Денис Загаевский]

StynuBlizz: скорее да