Mon application web sera lancée par les applications clientes existantes d'épaisseur. Lors de son lancement, une requête HTTP POST sera généré, y compris des informations telles que l'ID utilisateur et des informations contextuelles supplémentaires (essentiellement de choses comme le nom de l'utilisateur cible, anniversaire, etc.).connexion sécurisée avec des informations contextuelles supplémentaires passe par (qui doit également être sécurisé)
Mon plan d'authentification consiste à créer une table de consultation dans la base de données. Si le nom d'utilisateur est déjà là, connectez-vous automatiquement à l'utilisateur, mais s'il n'y a pas d'entrée dans la base de données, rediriger l'utilisateur vers une page de connexion initial qui sera utilisé pour créer cette entrée de la base de données.
Ma question est comment sécuriser cela contre MITM et d'autres failles de sécurité. Comment la requête générée par le client lourd peut-elle être sur une connexion SSL? Une connexion SSL ne doit-elle pas d'abord être authentifiée avec le nom d'utilisateur (et le mot de passe)? Et si oui, les informations contextuelles supplémentaires seront-elles exposées publiquement jusqu'à ce que l'utilisateur soit connecté? Désolé, c'est une question de sécurité de base de 101. Des références sur les bases de la sécurité seraient également très appréciées.