Доброго дня!
Рассматривается способ авторизации REST запросов, идея следующая:
пользователь используя свои учетные данные логинится в приложение и получает токен для доступа к рест сервису. Выдает токены сам сервис. Весь обмен по обычному http. Токен кладется в БД и содержит expiration time. После этого токен шифруется прежде чем отдать пользователю. Только рест сервис знает как расшифровывать этот токен. После того как токен приходит на рест сервис он его расшифровывает и определяет все необходимые данные для аутентификации рест клиента. Насколько это безопасно и удобно?
beshot: если кратко: сервер генерирует токен (ваши данные + когда истекает) и подписывает его. Самое банальное - поместить в данные userId и когда на сервер придет запрос с токеном - можно сразу проверить его валидность и если все ок - достать из БД пользователя, например
уточню:
в предлагаемом решении участвую только две стороны: клиент и сервер, и вопрос - зачем подписывать токен? Будет не достаточно его просто зашифровать?