Sans regarder dans l'appli, il suffit de "sniffer" les connexions sortantes, et regarder ce qu'il passe dessus...
Utiliser SSL pour sécuriser est donc nécessaire (https quoi !)
Ensuite mot-de-passe + login n'est pas forcément nécessaire... et en plus, même chiffré, un "man in the middle" pourrait récupérer la valeur et la réutiliser telle quelle.
Pour sécuriser un "minimum", l'appli doit par exemple chiffer un token (avec une clé publique par exemple) par exemple avec une date de création, et un "payload" aléatoire par exemple:
String clearToken = Long.toHexString(rand.nextLong())+"-" + Long.toHexString(System.currentTimeMillis());
Du coté PHP on décode le token (avec la clé privée), on cherche le "-", et on vérifie que la valeur après correspond bien à une date < quelques secondes à maintenant.
Partager