Estoy trabajando en una aplicación de iOS que también tendrá un componente web. Cuando un usuario crea una cuenta, sus contraseñas se incluirán en sal. Ya tengo el algoritmo de hash trabajando en el lado web.
Cuando un nuevo usuario crea una cuenta en la aplicación, ¿la aplicación iOS debe copiar su contraseña y enviarla al servidor para que se inserte directamente en la base de datos? ¿O debería enviarse su contraseña al servidor en texto sin formato y hacer un hash allí? ¿Debería estar incrustado dentro de la aplicación, enviado al servidor, descifrado y luego hash? Simplemente no estoy seguro de cuál es el mejor y más seguro protocolo. Supongo que la misma pregunta se aplica a la autenticación de un usuario existente que intenta iniciar sesión.
Además, en este momento no tengo la configuración de SSL en el servidor, pero ciertamente estoy dispuesto a hacerlo si ayuda con esto.