Invio delle credenziali lato server come testo in chiaro dopo la connessione a SSL [duplicato]

Question

Invio delle credenziali lato server come testo in chiaro dopo la connessione a SSL [duplicato]

#1 da (2 voti)

0

Sto creando un'applicazione Android per interagire con un webservice. Va bene se trasmetto le credenziali API del server come testo in chiaro utilizzato per autenticare un webservice?

L'applicazione ha una funzionalità di ricerca e utilizza nome utente e password per generare un token di autenticazione.

POST /HTTP/1/1
Accept: application/json
client_id:
client_secret:
Content-Type: application/json
Content-Length: 53
Host:
Connection: close
User-Agent: okhttp/3.7.0

{"Username":"XXXXXXXXXXXXXX", "password": "XXXXXXXXX" }

android web-service

posta Mohammed Farhan 23.11.2017 - 13:40

fonte

1 risposta

Leggi altre domande sui tag android web-service

Le recenti vulnerabilità USB del kernel Linux trovate da Andrey Konovalov sono state corrette? autenticazione JWT o cookie?

score 2 · Accepted Answer

Una volta stabilita una connessione su SSL / TLS, puoi inviare segreti su quel canale - questo è il punto di SSL / TLS.

Comunque ....

Sembra che tu stia utilizzando OAuth, con il flusso di "Credenziali password proprietario risorse". Se lo fai, ci sono alcune cose da considerare.

Ci sono diversi flussi, e questo particolare flusso si aspetta la massima quantità di fiducia da parte dell'utente finale. Se possibile, dovresti prendere in considerazione uno degli altri tre flussi.

È meglio non chiedere all'utente di inviare la propria password al proprio server o chiedere all'utente di inserire le proprie credenziali in una schermata appartenente alla propria app.

Il servizio Web che utilizzi dovrebbe fornire una schermata di accesso da utilizzare per l'autorizzazione OAuth. Dovresti reindirizzare l'utente a quella schermata di accesso e lasciare che il servizio Web gestisca la procedura di accesso. Dovrebbe quindi fornire il token necessario per completare l'autorizzazione.