Il modo migliore per accedere automaticamente all'applicazione web

Basta fare un POST HTTPS nella tua applicazione di avvio, passando normalmente il nome utente + la password. Ecco come funziona il tuo browser web.

Non inviare nemmeno le password con hash in testo in chiaro e soprattutto non nell'URL. Un token a tempo limitato è molto meno prezioso per un utente malintenzionato.

Utilizza un generatore casuale protetto da crittografia per creare un token univoco per ciascun utente. Avrai bisogno di capire come emettere nuovi token quando scadono quelli vecchi. Questo è il modo in cui funziona la maggior parte dei collegamenti di login e-mail.

Anche l'hashing della password e l'invio tramite GET o POST è una violazione grave se la invii solo via HTTP - chiunque può intercettare la richiesta in chiaro e utilizzare quel valore hash per accedere da qualunque altro utente.

Se hai intenzione di fare questo genere di cose, dovresti assolutamente usare HTTPS - con un certificato adeguato da un'autorità riconosciuta. In questo modo, le informazioni sono crittografate e molto più difficili da intercettare (SSL può ancora essere decodificato da terze parti, ma una lunghezza e una configurazione della chiave decenti dovrebbero rendere questa operazione molto costosa).