这是我对rails server和android的想法。请让我知道以下步骤是否有意义。
首先,当安卓应用程序第一次启动时,用户将输入他/她的电子邮件地址和密码。
然后,应用程序将向 Rails 服务器请求对用户进行身份验证,服务器将返回令牌(在令牌身份验证中)。
应用程序存储令牌并附加令牌以供后续请求。(例如:http ://myServerUrl.com/books/list?auth_token:xxxx )服务器将检查令牌是否存在是用户表,然后以 JSON 格式将凭证数据发送回应用程序。
我的问题是,
- 第一次,当在 HTML 正文中使用电子邮件地址和密码向服务器发出请求时(在 POST 的情况下),它是否安全?如果用户使用 wifi,整个纯文本将暴露给公众。是否有任何安全的方法可以将电子邮件和密码发送到服务器?是否需要 SSL 或非对称加密或 HTTPS?
- 从服务器接收到身份验证令牌后,应用程序将为后续请求附加该令牌。换句话说,身份验证令牌也将作为纯文本公开。有什么安全的方式来提出请求吗?如果有人转储一个完整的请求并将其发送到服务器,服务器如何知道它是否是一个有效的请求?
由于我对 ror 和 android 应用程序还很陌生,任何帮助都会大大减轻我的痛苦。