Я пишу мобильный клиент для интернет-магазина. Я написал API REST для доступа к данным на сервере. Теперь мне нужно аутентифицировать пользователя.
Я много читал об этом и пришел к простому решению.
Во-первых, когда пользователь впервые запускает приложение, он должен ввести точно пароль и логин из учетной записи интернет-магазина. В этом случае пароль каким-то образом отправляется на сервер и проверяется, после этого пользователь получает ответ.
Если все в порядке, пользователь получает доступ toke, который может использоваться в будущем для доступа к личным данным. Если нет, получите простое запрещающее сообщение.Первое аутентификация, чтобы получить токен
У меня есть некоторые вопросы здесь:
Что лучший способ для отправки пароля и входа в систему в первый раз, чтобы получить маркер доступа. Шифруйте пароль с помощью некоторого алгоритма, а затем отправляйте его по простому HTTP или установите сеанс HTTPS и просто используйте этот канал для передачи данных по сети. В этом случае пароль не нужно зашифровывать, использовать общедоступные/частные ключи, предоставляемые HTTPS?
Можно ли отправить этот запрос как метод POST через HTTPS, например, используя следующий URL/api/v0/store/auth? Или лучше сделать это по-другому.
Во всех случаях, где используется HTTPS, мне нужен самозаверяющий сертификат?
Я был бы признателен за любую помощь. Заранее спасибо.