Нужно написать авторизацию через RESTApi. Разбираюсь в логике сие действия. Пока вижу такой путь:
1) Приложение отправляет логин\пароль через https к REST-серверу.
2) Сервер делает селект в БД. Если все хорошо, создает уникальный ключ в таблицу сессии в паре с id пользователя.
3) Возвращает этот ключ (токен) назад клиенту
4) Далее клиент работает с сервером отправляя свои запросы, в которые так же включен полученный токен.
5) Сервер селектит пользователя уже по токену. Возможны временные ограничения на токен, но это уже плюшки.
Вот это правильная схема авторизации? Или есть более умные, правильные?