Как организовать безопасную авторизацию android приложения?

Question

[Денис]

Нужно сделать авторизацию для android приложения. С сервером общаюсь через REST.
Вот примерная схема, полученная из моих знаний.

Просим логин и пароль
Создаём их хеш
Отправляем по HTTPS хеш на сервер
Если ок, то сервер возвращает idsession /token, который мы используем во всех последующих запросах (передавая его в заголовках запроса)
Хеши логина и пароля шифруем и храним на устройстве
При истечении сессии снова отправляем хеши на сервер автоматически

Прошу помочь улучшить схему авторизации)

Answer 1

[Иван]

Безопасную авторизацию для кого именно вы хотите?
Чтобы нельзя было общаться с вашим сервером не через приложение, прикидываясь им? - это невозможно, можно только увеличить трудозатраты на такую подделку

Comments

[Денис]

Ну вообще задача в том, что бы данные пользователя было трудно украсть
И чтобы сервер не отправлял данные неавторизированному пользователю

[Иван]

lacredin: Ну тогда полностью защитить - невозможно. Можете только увеличить количество человекочасов, которые потребуются для этого, чтобы это стало нерентабельно.
Так как с андроида можно вытащить всё что уодно

[Санжар Аубакиров]

Иван: А если предположить что к телефону доступа нет и не будет.

[Иван]

Санжар Аубакиров: это возможно только в том случае, если вы распространяете приложение на корпоративных телефонах или что-нибудь подобное
Иначе любой человек может скачать его, разверсить и найти всё что ему нужно и подсовывать серверу нужные данные