Rest API. Как передать пароль?

Question

[Йцу Йцуевич]

Начал изучать Rest API всего пару дней назад, вроде нечего сложного.

Как лучше передавать пароль серверу из приложения, GET или POST методом.
Должен ли он быть зашифрован, если да, то может не все языки поддерживают алг-м шифрования.
А если и поддерживают, то злоумышленники сразу поймут какой он. (напр. в моём случае MD5)

Answer 1

[Евгений]

Эти вопросы относятся к теме аутентификации.
Сам разбирался в ней пару месяцев назад.
Есть несколько схем работы с rest-сервисом. Они кратко описаны в статье "6 способов: как добавить security для Rest сервис...
Вот они
1) Basic аутентификация. Стандарт rfc 2617
2) Digest аутентификация. Стандарт rfc 2617
Добавлю. Изменения при этой схеме, в отличие от 1), коснутся как клиента, так и сервера. Клиент и сервер добавляют случайные значения запросам и ответам, что позволяет устранить уязвимости повторного использования, а также ввести механизм "срока годности" отпечатка логина-пароля.
3) Token Authentication
4) Digital Signature (public/private key pair)
5) Certificate Authentication
6) OAuth 2.0. Стандарт rfc 6749. В этой схеме есть 4 "режима". Один из них работает, как 3). Какой и когда подходит, хорошо описано в книге "Getting Started with OAuth 2.0"