В настоящее время мы разрабатываем приложение для смартфонов, которому необходим протокол аутентификации. Мы будем использовать HTTPS для всех сообщений. Идея заключается в следующем:Безопасен ли протокол аутентификации HTTPS?
- Клиент связывается с сервером и выполняет аутентификацию с помощью комбинации пользователя и пароля.
- Серверы ответят с помощью маркера, созданного ramdom, который хранится в базе данных.
- Чтобы связаться с сервером, клиент теперь использует свою комбинацию пользователя/токена.
- В каждом отправляемом сообщении сервер имеет определенную вероятность восстановить новый токен, который он включает в отправляемое сообщение.
Вопрос: будем ли мы иметь проблемы с безопасностью, используя этот протокол?
Примечание: пароли и токены сохраняются хэшированными в базе данных.
Спасибо за ответ, но я просто не понимаю, какой сертификат вы говорите: наш токен или сертификат SSL? – Rabyss
Токен не является сертификатом, я имею в виду сертификат TLS (SSL). – rekire
Хорошо. Разве это уже не проверено нашими услугами хостинга? – Rabyss