Sto lavorando su un'API REST che consentirà a un'app Android di comunicare con un sito Web. Purtroppo più della metà delle persone che lo utilizzeranno non può farlo tramite HTTP, quindi dovrò massimizzare la sicurezza su HTTP.
Ciò che deve accadere è semplicemente l'autenticazione tramite un'API REST, nome utente / email e password.
Ho pensato di eseguire l'hashing della password (o del nome utente + della password) clientide e inviarlo al server, ma poi si finirebbe con una seconda password con cui chiunque potrebbe ancora autorizzare. L'hashing della password clientide significherebbe anche che se qualcuno accede al database, quella persona sarebbe in grado di accedere a tutti gli account.
Qual è un modo per autenticarsi in sicurezza su HTTP? Ho il pieno controllo su client e server, quindi non c'è nulla che non sia possibile.