Это существующая система с экраном входа в систему, теперь я предоставляю некоторые услуги в качестве службы REST. Я создаю систему входа в систему аутентификации для этой службы Rest (jersey). Пользователь отправляет имя пользователя-пароль, затем сервер возвращает токен, рассчитанный как:
sha1(username+password+currenttime(or any random number))
Пользователь будет использовать этот токен для входа в приложение для дальнейших запросов. И сервер хранит копию маркера в базе данных с меткой времени и идентификатором пользователя и вводит в систему этого пользователя, если временная метка действительна.
Учитывая, что HTTPS будет использоваться несколько вопросов;
В моем дизайне все выглядит нормально? (генерация хеша и способ, которым я сохраняю в БД). Мне кажется, что самая слабая точка - мне нужно отправить обычное имя пользователя и пароль по запросу POST, но поскольку это HTTPS, я думаю, это не будет проблемой.
другое дело, для первого запроса, поскольку это существующая система, у меня нет пользовательских паролей в моей БД, но сохраняйте их соленую хэшированную версию. Который, я думаю, небезопасно, чтобы дать всем клиентам этот соленный алгоритм, чтобы отправить мне хэш их паролей, поэтому я сравниваю хеши, но не пароли. делает это смысл =