此HTTPS身份验证协议是否安全？

Question

我们目前正在设计一款需要认证协议的智能手机应用程序。 我们将对所有消息使用HTTPS。这个想法如下：

1. 客户端联系服务器并用他的用户/密码组合进行身份验证。
2. 服务器回复存储在数据库中的ramdom生成的令牌。
3. 要联系服务器，客户端现在使用他/她的用户/令牌组合。
4. 在发送的每条消息中，服务器都有一定的概率重新生成它发送的消息中包含的新令牌。

现在的问题是：我们是否有使用此协议的安全问题？

注意：密码和令牌存储在数据库中散列。

Answer 1

安全性基于您用于加密的证书。通常这就够了，你也可以检查它是否是预期的证书。如果您检查自己的证书的指纹，您可以确定（如果您使用的是sha1或更高版本）证书来自您，而不是成功的中间人攻击。例如。 NSA可以简单地为您的域创建有效的证书，但AFIK无法生成具有相同指纹的第二个证书。

顺便说一下，我希望密码和托克也是盐。这很重要，因此不可能看到两个客户使用相同的密码，同时也增加了散列的复杂度，这意味着需要更多时间才能用彩虹表破解这样的密码。