הזדהות מול שרת

[Guy Yafe]

הזדהות מול שרת

שלום,
מצרף כאן שאלה שנשאלה בפורום השכן, ולא קיבלה מענה.
אשמח לתשובה אם יש מישהו שמתעסק בכך.

אפליקציית צד לקוח, מבצעת קריאות rest לשרת.
האם יש סכמה מקובלת שבאמצעותה מממשים את ההזדהות מול השרת?
OWASP מפרטים די בברור על הנהלים:
https://www.owasp.org/index.php/Session_Management...
דפים נוספים בחיפוש בגוגל מראים תוצאות די דומות:

• עבודה רק עם TLS
• שמירת סיסמאות על השרת עם hash ועם salt
• לאחר ההזדהות החלפת session id
• מחיקת session אחרי ניתוק משתמש

השאלה שלי היא האם הסכמה הזו נכונה או שיש משהו אקוטי שאני מפספס?

 

[yair24]

השרת הוא שרת WEB?

 

[Guy Yafe]

שרת HTTP

 

[yair24]

רגע שרת HTTP זה לא שרת WEB?

אני שואל את זה כי לי יש גם אפילקציה שמתקשרת עם שרת WEB רגיל ופשוט כזה שקניתי בחברת איחסון אתרים.
האפליקציה שולחת ומקבלת מידע בצורה של JSON
ובשיטת POST.
&nbsp
הבעיה ששמתי לב שקורית היא שאם אני מאפליקציה שולח שם משתמש וססמא ומפעיל משתנה SESSION אז כשהאפליקציה עוברת לעמוד אחר המשתנה SESSION מפסיק להתקיים.
&nbsp
זה לא עובד כמו בדפדפן שבדפדפן אתה יכול להכניס שם משתמש וססמא ואז לייצר משתנה SESSION וכשאתה עובר מעמוד לעמוד המשתנה ממשיך להתקיים וככה הוא זוכר את היוזר שלך...
&nbsp
זה קרה לך גם?