如何在爬网程序中安全地使用用户输入的凭据？

Posted 2021-04-01

我正在创建一个应用程序，用户必须在其中提供第三方网站的凭据。我的应用程序使用此凭据登录该网站，以通过Jsoup执行一些自动化任务。

我看到的问题是，当从应用程序向网站发送凭据时，它们可能会被截获。有什么方法可以加密这些数据吗？

凭据不适用于特别关键的服务，它没有涉及金钱或类似的东西，但我仍然不想暴露密码。

答案

您希望保持用户的凭据安全，这很棒。即使您使用的服务不重要，这也是一件好事，因为许多用户通常会跨站点重复使用他们的密码。

至于可以做什么，这将取决于您尝试使用的服务支持。第一个问题是网站是否使用HTTPS。你应该尽可能使用它。

有些网站还提供自己的API，无需通过网页进行交互。我认为这可能不适合您，因为您使用的是JSoup，但如果是一个选项，请查看它们提供的安全功能。

如果没有其他内容（或者除了其他内容之外的其他内容？），您可以考虑在应用中添加一个带有“安全使用建议”的段落或类似的内容。敦促您的用户为不同的站点使用单独的密码，或者至少为该特定站点使用单独的密码，以降低风险。小心不要过分推动它 - 你希望它是一个友好的提醒，而不是一个持续的唠叨。