Por lo tanto, algunos antecedentes. Actualmente estoy trabajando en una aplicación de redes sociales para Android. Lo estamos programando en Java, y estamos utilizando OKHTTP3 para una conexión con el backend de PHP, que se encargará de actualizar la base de datos MySQL y el almacenamiento.
Mi pregunta es la siguiente: ¿Cómo debo manejar las contraseñas? Una vez que el usuario ingresa sus credenciales en el formulario de inicio de sesión, ¿debo ingresar la contraseña (planeamos usar bcrypt) y luego enviarlos a través del servidor de PHP para un almacenamiento inmediato? ¿O el Backend de PHP necesita hacer más hash o cifrado de seguridad?
La forma en que creo que se hará en este momento es la siguiente: 1. El usuario ingresa las credenciales para el registro 2. La contraseña está oculta 3. Las credenciales se envían al servidor 4. Las credenciales se ingresan en MySQL. ¿Qué se debe hacer de manera diferente? ¿Esto está bien?
Leyendo haciendo una aplicación de iPhone / Android que envíe una contraseña de usuario a mi servidor, ¿cómo asegurarla? no respondió a mi pregunta lo suficientemente bien.