Disculpe si mis preguntas parecen ser repetitivas pero todavía no he podido encontrar una respuesta.Autenticación de usuario usando REST
Estoy construyendo una aplicación basada en REST usando Spring 3.0 y planeo desplegar eventualmente en Google App Engine. Ahora mis clientes podrían ser nativos de Android, iPhone o un cliente basado en web.
Mis usuarios necesitan iniciar sesión utilizando el nombre de usuario y la contraseña almacenados en el servidor dentro de una capa de persistencia. Ahora di que mi cliente de Android abre la aplicación y se muestra la pantalla de inicio de sesión es usuario. Ahora el usuario escribe en nombre de usuario y contraseña.
Sé que sería una publicación y diría que mi punto final del servicio es el registro. Por lo que sería algo así como
POSTAL /registro
Ahora me va a poner nombre de usuario y contraseña en el cuerpo del mensaje en formato XML o JSON. Mi pregunta es "¿es esta la manera correcta de hacerlo?" Estoy planeando convertirlo en SSL, pero ¿cómo debería enviar esta información confidencial como esta en mi cuerpo? Planeo devolver un token OAUth en la autenticación exitosa y usar eso para validar al usuario en todas las llamadas futuras de servicios.
Gracias de antemano.
Muchas gracias por su respuesta. ¿Debo preocuparme por cualquier otra amenaza de seguridad? – SaKet