Всем привет! Подскажите логику построения API для авторизации в мобильном приложении.
Необходимо написать API авторизации, где пользователь будет входить в свой профиль через приложение android.
У меня в голове только такой принцип:
- отправляем из приложения логин и пароль
- проверяем на сервере данные и если совпали - отправляем приложению случайную строку (следим чтобы такой не было в БД) и сохраняем её в БД скажем, в таблице tokens
- при каждом обращении к серверу (API), приложение должно отправлять в параметрах эту самую случайную строку
- Перед выполнением какого-то кода на сервере, мы проверяем есть ли параметр token, получаем из базы данных ID пользователя с таким token-ом и дальше работаем с остальным скриптом, зная, кто к нему обратился...
Правильно я понимаю?