Autoryzacja za pomocą tokenu, (aplikacja mobilna) Opcje

[markonix]

Piszę w PHP proste API dla aplikacji mobilnej i chciałbym się upewnić, że będzie to zgodne ze sztuką.

Moje wąplitiwości:

Jak wykonać pierwszą autoryzację gdy w aplikacji jest prosta para login + hasło?
Apka wysyła login, hasło i id urządzenia. Sprawdzam login i hasło, zwracam (JSON) token, który jest zapisywany po stronie serwera i w aplikacji.
Aplikacja wykonując zapytania do API przesyła już token powiedzmy chce pobrać jakieś dane:
example.com/api/get_data/TOKEN/arg1/arg2
Sprawdzam token (czy istnieje) jeżeli tak to do kogo jest przypisany i odpowiednio autoryzuje czy może wykonać metodę get_data.

Nie wiem czy sprawdzać też każdorazowo unikalne ID telefonu?
Czy hasło do serwa wysyłać normalnie i tworzyć hash po stronie backendu czy już z Androida wysłać hash hasła (nie wiem czy będzie się tak w ogóle dało)?
Czy schemat generalnie jest ok?

Ten post edytował markonix 15.09.2015, 22:34:16

[Comandeer]

A może coś jak to, co zostało zaimplementowane w OAuth 2.0? http://aaronparecki.com/articles/2012/07/2...ied#mobile-apps

[Pyton_000]

Jeśli chodzi o bezpieczeństwo to OAuth 1.1, Wersja 2.0 jest mniej bezpieczna niż poprzedniewersje.

[Comandeer]

Owszem, jest o wiele mniej bezpieczna, ale też mniej upierdliwa (IMG:style_emoticons/default/wink.gif) I chyba dlatego w największych serwisach, typu FB czy Google, pomyślnie wyparła/wypiera starsze wersje OAuth.

[markonix]

Oauth jest niestety dla mnie zbyt mało klarowny na ten moment.. Wolałbym jakieś własne, proste rozwiązanie bo chyba nie ma w nim żadnych luk, które rozwiązuje oAuth.