我想知道是否有人可以在下面验证或分享他们的想法。
我正在创建一个使用大量API调用(REST)的iOS应用。该应用的用户需要使用他们在注册时设置的电子邮件和密码进行身份验证。当他们注册或登录时,我在服务器上生成一个auth令牌,供用户用于该会话。每次后续API调用我都会发送用户密码和身份验证令牌进行验证,如果成功则继续执行他们的请求。我将身份验证令牌和密码存储在钥匙串中,并使用他们的电子邮件作为密钥。
目前密码在MySQL中存储了哈希/盐渍,但是当我从应用程序发送到API时,密码以明文形式发送。连接是通过SSL连接,所以发送明文确定,或者我应该在应用程序中预先形成相同的散列并发送该值?我意识到发送哈希可能是一件坏事,因为用户会获得哈希值。
感谢任何指导。