не знаю, помню откуда все пошло - просто на стаковерфло видел, что местные гуру не советовали даже под https отправлять голый пароль, вроде безопасно, но...не совсем. и на этом моменте мой внутренний параноик вышел из запоя и начал требовать чтоб я запилил чето безопасное. параноя + отсутствие должного опыта в сфере = головная боль & оверинжиниринг.
не знаю, чтоб не передавать пароль, а его хеш - разве не безопасней?
меняли, но есть возможность заменить на другой, если есть желание.
я в процессе поиска решения подменял на бкрипт.
т.е. настоящий пароль передавать только при первом логине, а потом на сервере генерировать этот токен и отсылать приложению?
токен не меняется?
т.е. кто-то может его перехватить? раз каждый раз отправляется - окно атаки большое( так кажетcя называется)
как сервер будет знать, что запрос пришел от приложения а не сэмулирован злоумышленником? то есть по сути, пароль мы прячем, но этот токен все равно может позволить кому то со стороны прикинуться приложением и писать в базу данных.
я вот это хочу предотвратить. сорри за вал вопросов .
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.