Hola a todos.

Me inicio en este foro en busca de alguien que arroje algo de luz sobre una duda/problema sobre el que llevo intentando documentarme un tiempo pero no encuentro quien/que me informe de ello.

He desarrollado una API REST en PHP para ser compartida por una aplicación web y otra de Android. El problema me surge en la autentificación de los usuarios en la misma. La aplicación es de "andar por casa" y no se va a usar SSL en la conexión.

Leo que el método es el siguiente:

- Un usuario al darse de alta genera en su registro de base de datos una Key privada que almacena en su dispositivo

- Por cada petición que haga debe encriptar la URL que solicite (una vez ordenados los parámetros por orden alfabético) con la Key privada y añadir el código generado a la URL

- El servidor recibe los parámetros y realiza la misma acción, si el código generado coincide con el enviado es válido.

Hasta aquí todo perfecto, pero ahora es cuando viene el problema/duda. Cuando yo hago el login, si tengo que enviar los parámetros en la URL, los datos de usuario/contraseña van en la petición y cualquiera que captura dicha petición ya tendría esos datos. Es más, si yo me voy a otro equipo e introduzco mi usuario y contraseña, la Key privada no está alojada en ese equipo y la única forma de que se me devuelva es pasando los datos del login, con lo cual estamos en el mismo problema de seguridad al enviar inicialmente los datos de login sin seguridad.

No sé si he conseguido explicar con claridad el problema. Espero podáis indicarme que me estoy perdiendo.

Gracias de antemano!