Mi pregunta es bastante similar a: enlace .
Básicamente, quiero escribir una API para mi servicio que permita a un usuario iniciar sesión en ella y les otorgue acceso al resto de las llamadas a la API. Quiero que la API se conecte con cualquier tecnología, aplicaciones de Android o IOS o clientes web.
Idealmente, la secuencia de inicio de sesión no compartiría la contraseña en texto claro, incluso si se trataba de SSL / HTTPS. Quiero formar una autenticación de inicio de sesión que pueda funcionar a través de HTTP y que agregar SSL / HTTPS agregue una capa adicional de seguridad. No quiero que SSL / HTTPS sea mi única capa de seguridad.
Estaba leyendo acerca de la autenticación HMAC y esto parecía lo que quería hacer porque el secreto compartido nunca se envía a través del cable. Pero el problema con esto es que requiere que el cliente guarde el secreto compartido, que no funciona tan bien en una aplicación porque entonces no les permite cerrar sesión e iniciar sesión en otra cuenta en el mismo dispositivo.
¿Existe alguna forma de implementar la autenticación de inicio de sesión sin compartir la contraseña por el cable o, al menos, enviarla por el cable sin texto sin cifrar y con SSL / HTTPS?
Hazme saber si necesito explicar más. Gracias!