Estoy planeando asegurar mi servicio web REST (REST WS) usando la CLAVE API y NO VALOR DE NOCE. El REST WS está sobre SSL.
El ID de usuario / contraseña se cifra y se envía a la aplicación web que aloja el REST WS donde la aplicación lo decodifica y lo autentica.
Would there be any mechanism by which it can get hold of the UID / PSWD
from Mobile App calling this REST WS or via a Client Browser ?
Para evitar esto, digamos que aplico NONCE, donde el cliente llama para obtener el valor de Nonce y luego lo adjunta a UID y contraseña.
How do I secure the NONCE API over the web where browser or mobile can call it ?