Как осуществить автоматическую авторизацию?

Question

[Comedozw]

Есть сервер написанный на php с базой данных. Требуется написать клиент к этому серверу (desktop). Собственно сама реализация клиента на C# wpf, связь с сервером осуществляется через POST/GET запросы.
В клиенте нужно авторизоваться с функцией автоматического входа, то есть при следующем запуске приложения что бы логин и пароль совсем не запрашивался, а приложение сразу же было готово к работе по примеру стима и прочего) Как это возможно реализовать с более менее должным уровнем защиты. Правильно ли хранить логин и пароль после ввода и постоянно при входе просто отправлять его на сервер.
Как получать нужную инфу из сервера после авторизации? нужно реализовать что-то на подобии сессии, отправить токен на клиент и после все запросы посылать с ним? Но ведь если токен перехватят то получат полный доступ.
Подскажите где можно почитать про авторизацию и хранение паролей логинов и доступ по токена или другим способам.
Сам разбираюсь в этом пару дней, строго не судите. Всем спасибо

Answer 1

[xmoonlight]

Правильно ли хранить логин и пароль после ввода и постоянно при входе просто отправлять его на сервер.

нет!
1. Вообще пароль не должен храниться нигде!
2. Хеширование пароля и обмен данными должны происходить каждый раз с уникальным параметром.
3. Авторизация только по токену.
4. Токен и парольный хеш - формируются по ключу и лимитируются по времени.
5. Пароль хешируется публичным ключом сервера и если хеши совпадают - значит пароль ввели верно и мы залогиниваем юзера в систему.

Answer 2

[synapse_people]

JWT посмотрите