Il mio obiettivo è di avere un'app (iOS) in cui l'utente effettuerà il login, quindi su un login soddisfacente, ottenere l'accesso a ulteriori informazioni su un servizio web crittografato (indeciso).
Dalla ricerca, comprendo le tecniche di crittografia di scambio di chiavi diffie-hellman e 'firme' usando HMAC con chiave segreta (dal diffie-hellman).
Ulteriori ricerche mi portano all'HTTP per garantire l'assenza di intercettazioni.
Tuttavia, ora sono un po 'confuso su cosa avrei bisogno di fare tramite la connessione HTTPS per garantire che i dati di accesso siano protetti tra app & server.
- HTTPS è abbastanza sicuro da superare il "nome utente" POST & 'password' i dati lungo la linea verso il server da solo? o sarebbe necessaria una sicurezza aggiuntiva come un hash della password?
o
- Dovrei implementare una chiave di scambio completo + la firma della richiesta (e ad un certo punto un token di accesso), su una connessione HTTPS?
Non sono sicuro dove tracciare la linea con la crittografia.