摘要： 与普通应用相比，BYOD由于存在客户端软件，以及“记住密码”功能通常会启用，因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。一般常见的问题是将用户的口令明文存在手机应用的配置文件中，或虽然使用加密存储但加密密钥也是存在于手机中的。鉴于此，手机客户端不建议保存用户口令（即使加密后存储也不建议），如果需要保存认证凭据，可考虑的做法：（1） 记住硬件ID，作为对设备或使用人的辅助认证；（2） 首次认证使用口令，但口令需要使用服务器公钥进行加密，建立会话前应验证证书的有效性防止中间人劫持；后续的免输密码认证，不靠口令，而是类似SESSION_ID的一个字段，加密存储（可选对称加密或使用服务器 阅读全文