La mia domanda è molto simile a: link .
Fondamentalmente, voglio scrivere un'API per il mio servizio che consenta a un utente di accedere a esso e garantisce loro l'accesso al resto delle chiamate API. Voglio che l'API sia collegata a qualsiasi tecnologia, app Android o IOS o client web.
Idealmente, la sequenza di login non condividerebbe la password in chiaro anche se era su SSL / HTTPS. Voglio creare un'autenticazione di accesso che possa funzionare su HTTP e aggiungere SSL / HTTPS aggiunge un ulteriore livello di sicurezza. Non voglio che SSL / HTTPS sia il mio unico livello di sicurezza.
Stavo leggendo sull'autenticazione HMAC e questo mi è sembrato quello che volevo fare perché il segreto condiviso non è mai stato inviato via cavo. Ma il problema con questo è che richiede al client di salvare il segreto condiviso, che non funziona così bene in un'applicazione perché non consente loro di disconnettersi e accedere a un altro account sullo stesso dispositivo.
Esiste un modo per implementare l'autenticazione di accesso senza condividere la password via cavo o, per lo meno, inviarlo via cavo non in chiaro e con SSL / HTTPS.
Fammi sapere se devo spiegare di più. Grazie!