Bonjour à tous.

J'ai quasiment terminé mon web service, et j'aimerai maintenant identifier mes clients grâce au web service REST afin de les mener vers des resources protégé.

Pour cela je me pose quelques questions sur le bon déroulement de l'authentification.

Voici comment je compte procéder:

J'ai crée une route /api/authentication qui permet d'établir une authentification.

1) le client envoi les donné login/mdp en json en POST
2) si ok, le serveur lui envoi son id et son mdp hashé en md5.
3) le client garde en mémoire ces informations
4) il veut accéder à son historique de commande

C'est à l'étape 4 que je ne pige pas bien!
Une vérification doit être effectué au préalable pour vérifier les droits d'accès a cette resource.

Pour cela faut-il envoyer l'id et le mot de passe du client en GET:
api/customer/order/:id/:pwd

:id correspond à l'id du client
:pwd correspond au mot de passe hashé que le serveur à renvoyé lors de l'identification à l'étape 2.

Je sais que c'est mauvais d'envoyer des données sensibles en GET, mais je ne sais pas faire autrement.

Pouvez vous me guider svp?

Cordialement