Mi objetivo es tener una aplicación (iOS) en la que el usuario inicie sesión y luego, con un inicio de sesión exitoso, obtenga acceso a información adicional a través de un servicio web cifrado (no decidido).
Desde la investigación, entendí las técnicas de cifrado del intercambio de claves diffie-hellman y las 'firmas' que usan HMAC con una clave secreta (del diffie-hellman).
Investigaciones adicionales me llevan a HTTPS para asegurar que no se escuchen a escondidas.
Sin embargo, ahora estoy un poco confundido en cuanto a lo que tendría que hacer a través de la conexión HTTPS para garantizar que los datos de inicio de sesión estén protegidos entre la aplicación y amp; servidor.
- ¿Es HTTPS suficiente seguridad para pasar POST 'nombre de usuario' & ¿Los datos de 'contraseña' bajan de la línea al servidor por su cuenta? ¿O sería necesaria una seguridad adicional como un hash de la contraseña?
o
- ¿Tendría que implementar una firma de solicitud de intercambio de claves completa (y, en algún momento, un token de acceso), a través de una conexión HTTPS?
No estoy seguro de dónde dibujar la línea con el cifrado.