Защита соединения. Как правильно использовать JWT? И нужен ли ssl?
Добрый день! Уже задавал похожий вопрос, думал что нашел решения. Но в процессе реализации, за малым кол-вом опыта, появился еще ряд вопросов.
Делаю приложение под ios. В нем есть авторизация пользоватаеля, чат, настройки профиля. естественно чат и настройки должны быть защищены.
Решил использовать JWT(json web tokens). Судя по прочитанному, работа должна происходить по следующему алгоритму:
1) Отправляем пароль и логин на сервак. Если они верные, формируем токен.
2) отдаем токен обратно приложению.
3) во всех следующих запросал шлем этот самый токен.
Из этого всего вытекают следующие вопросы:
1) Логин и пароль уходят на сервер в открытом виде. Так не должно быть. ЧТо нужно делать ? использовать ssl ? как вообще решают эту пробелму.
2) Получается, что если удается кому-либо перехватить токен, то он он сможет делать от имени определенного пользователя любые запросы к серверу.
Может быть я что то не так понял в JWT ? или тут нужно просто использовать ssl соединение?
Может кто-нибудь подсказать, где про это почитать?
Если использовать sslб где можно найти инфу по том как получать сертификат, как его использовать совместно с jwt и socket.io(чат у меня на сокетах работает)