我有一个Web服务器,它创建一个QR码,[用户名]是[用户名] [密码]的md5哈希.
其中[username]是当时登录的用户.
其中[密码]是我设置的系统密码,对于Web服务器和应用程序是通用的.

我的Android / iPhone / BlackBerry / Windows应用程序将扫描此QR码并使用QR码中提供的[用户名]与[密码]进行哈希,这将告诉我QR码来自我的服务器.

显然,如果有人要抓住[密码],那么他们可以创建不是来自我的网络服务器的QR码.那么无论如何要安全地存储[密码]在我的应用程序中,或者有人反编译.apk并在classes.dex中找到它？

解决方法:

你可以以某种方式模糊密码,但最终这只是通过默默无闻的安全性.想要的人当然可以对其进行逆向工程.

您可能希望查看公钥加密以避免这种情况 – 即使有人访问公钥,他们仍然无法使用它来模拟您的服务器.