サーバサイドプログラムとスマホアプリを連携するにあたり、
セキュリティをどう担保していくかの勉強中です。
これであってるのかな？
違ってたら教えていただけると助かります。

ログイン

スマホからサーバーに、ID / Pass を送ると、
サーバーからアクセストークン(文字列) を返す。

その後の通信

アクセストークンをHTTPヘッダーか、パラメータに入れて通信する。

アクセストークンを使うメリット

ID / Passwordを通信毎にサーバーに送る必要がない。

• 通信を傍受されてもID / Passは流出しない。
• ユーザーが同じID / Passを使用している他サービスへ被害が波及することを防ぐ。
• ID / Pass認証なしで通信できる期限が設定できる。

アクセストークンが傍受されてしまった場合

ユーザーなりすましができてしまう

=> 判明時点でアクセストークンをリセットするべし

この本読んでます。

体系的にまとまってる本ってあんまないので助かってます。