如何安全地将用户的电子邮件和密码从Android应用程序传递到我的Web服务器的REST API进行身份验证?
为路由创建POST请求是否安全,例如:
http://www.website.com/user/login
还有其他方法吗?更安全的方式?我应该了解哪些安全问题?
答案 0 :(得分:0)
发送密码只应是“登录操作”。显然,此登录呼叫必须通过https完成,以便更安全。
问题是基于附加到每个请求的密码的机制不够安全。
两种主要方法
通过Cookie :您在客户端和服务器之间交换Cookie。您显然必须在服务器中处理authentiacion以验证请求。经典的方式。
通过令牌(OAuth2方式):您交换刷新令牌(持续时间很长,可能是几天,几个月......可自定义)和身份验证令牌(临时并使用刷新令牌刷新)。您还必须在服务器上处理此问题(设置范围和时间,验证等)。
我一直在考虑用户/会话的密码。不要在APK中存储服务的“主密码”!决不!! APK没有秘密,它们可以轻松反编译。
我希望这会对你有帮助;)