Прошу прощения за мое невежество, потому что у меня почти нет опыта веб-разработки.
Я реализовал простой механизм, с помощью которого я хеширую пароль пользователя (отправляемый как параметр post / get) и сохраняю его в базе данных.После успешного входа пользователя я возвращаю идентификатор пользователя (PK в базе данных) обратно клиенту.Последующие запросы должны иметь идентификатор пользователя, который используется в качестве примитивного механизма для проверки запросов.
Я читал о нескольких механизмах, начиная с простой http-аутентификации, используя соленый хеш (который я использую),реализация маркеров доступа к, казалось бы, сложной OAuth аутентификации.Ах!и, возможно, наконец, о https.
Оставляя в стороне последние два, которые я все еще достаточно понимаю, у меня, кажется, есть очень простой вопрос, на который я не смог найти ответ.
Извините, это не прямой вопрос программирования, но я спрашиваю, почему я не могу найти ответ в Google или, скорее, не использую правильные ключевые слова для поиска.
Вопрос в том,учитывая все механизмы маркеров доступа, API-ключей и т. д., даже если бы я реализовал этот механизм, но не использовал https, есть ли смысл вообще их реализовывать?Я имею в виду, что как любой мог бы прослушать мой открытый текстовый пароль или идентификатор пользователя, он также мог бы отслеживать токен / ключ и использовать его впоследствии со злым умыслом, тем самым делая весь механизм бесполезным.Означает ли это, что https является единственным по-настоящему безопасным вариантом?
Я должен что-то здесь упустить, но указатели были бы очень благодарны.