Enviar credenciales del lado del servidor como texto sin formato después de conectarse a SSL [duplicar]

Navega tus respuestas
0

Estoy creando una aplicación de Android para interactuar con un servicio web. ¿Está bien si transmito las credenciales de API del servidor como texto sin formato que se utiliza para autenticar un servicio web?

La aplicación tiene una funcionalidad de búsqueda y utiliza el nombre de usuario y la contraseña para generar un token de autenticación. 

POST /HTTP/1/1
Accept: application/json
client_id:
client_secret:
Content-Type: application/json
Content-Length: 53
Host:
Connection: close
User-Agent: okhttp/3.7.0

{"Username":"XXXXXXXXXXXXXX", "password": "XXXXXXXXX" }
    
pregunta Mohammed Farhan 23.11.2017 - 13:40
fuente

1 respuesta

2

Una vez que haya establecido una conexión a través de SSL / TLS, puede enviar secretos a través de ese canal, ese es el punto de SSL / TLS.

However<

Parece que está usando OAuth, con el flujo de "Credenciales de contraseña del propietario del recurso". Si haces esto, hay algunas cosas a considerar.

Hay varios flujos, y este flujo en particular espera la mayor cantidad de confianza del usuario final. Si es posible, debe considerar uno de los otros tres flujos.

Es mejor no pedirle al usuario que envíe su contraseña a su propio servidor, o pedirle que ingrese sus credenciales en una pantalla que pertenece a su aplicación.

El servicio web que utiliza debe proporcionar una pantalla de inicio de sesión para usar para la autorización de OAuth. Debe redirigir al usuario a esa pantalla de inicio de sesión y dejar que el servicio web se encargue del proceso de inicio de sesión. Luego debería proporcionarle el token necesario para completar la autorización.

    
respondido por el S.L. Barth 23.11.2017 - 14:31
fuente

Lea otras preguntas en las etiquetas

DoS como parte de las pruebas de penetración ¿Se puede hackear / eludir iptables?