Quindi, alcuni retroscena. Attualmente sto lavorando a un'app di social media per Android. Stiamo programmando in Java e stiamo usando OKHTTP3 per una connessione al backend PHP, che gestirà l'aggiornamento del database MySQL e l'archiviazione.
La mia domanda è questa: come devo gestire le password? Una volta che l'utente ha inserito le proprie credenziali nel modulo di login, devo cancellare la password (intendiamo utilizzare bcrypt) e poi inviarle tramite il backend PHP per l'archiviazione immediata? O il backend PHP deve fare più hashing di sicurezza o crittografia?
Il modo in cui penso che sarà fatto adesso è questo: 1. L'utente inserisce le credenziali per l'iscrizione 2. La password è cancellata 3. Le credenziali vengono inviate al server 4. Le credenziali sono inserite in MySQL - Cosa dovrebbe essere fatto in modo diverso? Va bene?
Lettura facendo un'app per iPhone / Android che invia una password utente al mio server, come proteggere? non ha risposto abbastanza bene alla mia domanda.