Bonjour à vous,

J'ai une question côté sécurité pour la connexion de mon application android via mon service REST en php.

J'ai déjà beaucoup regarder ici et ailleur, j'ai vu les différentes solutions, comme avec oauth.

Mais je me demandais si c'était pas plus simple et aussi sécuritaire de faire plus simplement pour une petite application:

Voilà mon idée:

Lorsque l'utilisateur se connect via l'application android, le service va vérifier si le login/pass est bon.
Si c'est le cas, le service créer un token avec un TTL (qui reset à chaque action) et lui renvoye à l'application

Par la suite, si l'utilisateur demande de modifier son profile (nom admetton), l'application enverrai comme info:

token, userid, userip, son_changement

et le service lui vérfie si
le token est bien relier au userid et avec le même ip
et vérifie si le TTL du token toujours ok, ce qui veux dire que l'utilisateur est toujours logger.


Donc à chaque login, le token change


Voilà est-ce que il serait vraiment mieux de passé par oauth ou de cette manière pourrais être bon?

Merci à vous tous !!