ログインし、データベースにパスワードを保存したアンドロイドアプリをPHPハッシュでハッシュしました

Question

PHP 5.5パスワードハッシングを使用してWebアプリケーションのログインを管理しています。

http://php.net/manual/en/book.password.php

当社のパスワードは、当社のデータベースに格納されているPHPのパスワードハッシュを使用してハッシュ。ユーザーがログインするときは、データベースのハッシュされたパスワードと、ユーザーが入力したパスワードをpassword_verifyと比較します。

Androidアプリケーションからログインできるようにアプリケーションを展開したいと考えています。

私が見つけた解決策は、POSTを使用してPHPプロセスを呼び出して、パスワードとユーザー名を送信することです。このプロセスは、ログイン情報が格納されているユーザー名とパスワードのペアと一致するかどうかを示す0または1で答えます。

質問：

が最善のアプローチ上記のアプローチですか？

Answer 1

はい、それは可能です...

推奨：

RESTを使用してサーバ にAPIを開発するために、常により良いと安全です（今ログイン用）ので、今後 機能を拡張することができます。

追加：あなたは、セッションを作成したら、他のデータと一緒にアプリケーションにサーバーからトークンまたは現在のセッションIDを渡す必要があります。あなたが のデータをサーバーに保存する必要があるとき、アプリケーションはセッションからそれらの詳細を取得するためにサーバーへのすべての要求に IDを渡す必要があります。サーバー は、Androidアプリケーションから受信したリクエスト のセッションID（PHPSESSID）を識別できません。 （ただし、ブラウザからのリクエストが可能な場合）

それ以外の場合は、セッションの詳細を保存するためにDBを使用する必要があります。