Hej!
Na wstępie chciałbym zaznaczyć że nie wiem czy dobry dział wybrałem bo pytam się w penwych momentach konkretnie o język PHP jednak najważniejsza jest dla mnie odpowiedź czy tak w ogóle powinno to wyglądać ;) Do rzeczy tworzę aplikacje na telefony (android) która musi łączyć się z serwerem WWW i pobierać pewne dane. Każdy użytkownik aplikacji będzie mieć oddzielne konto na serwerze. Według mnie komunikacja powinna wyglądać tak:
- Użytkownik po włączeniu apki musi się zalogować (ew. logowanie z automatu ale tak czy siak wyślę dane do serwera). Aplikacja łączy się ze skryptem "login.php" i za pomocą post przesyła dane takie jak login i hasło.
- Jeżeli dane się zgadzają to serwer dodaje info do sesji.
- Aplikacja na telefonie użytkownika może się łączyć z odpowiednimi skryptami na serwerze np. info.php które pobierają odpowiednie dla danego konta dane i wypisują je.
Czy to jest sensowne podejście do tematu? Rozumiem że łączenie się do mySQL z poziomu aplikacji jest głupotą (łatwość wycieku haseł do bazy danych). Teraz zastanawiam się jak ogarnąć ten mechanizm sesji i czy w ogóle PHP jest odpowiednim językiem do rozwiązania tego po stronie serwera? (celuję w dużą ilość użytkowników :D). Podczas logowania zapisałbym sobie do sesji ID użytkownika. Ale jak ustawić ilość minut po których użytkownik zostanie wywalony (np. wyłączy aplikacje i będzie czasu na wylogowanie). Kolejne pytanie: podczas wywoływania innych plików na serwerze wymagających wcześniejszego zalogowania (np. ten info.php) muszę podawać w GET identyfikator sesji, tak? Ja widzę to tak że po zalogowaniu zwracam identyfikator i potem wysyłam go jako parametr. (niby można by się bawić w ciastka, tak jak to robią przeglądarki ale myślę że nie ma sensu). Czy logowanie takie jakie przedstawiłem jest wystarczająco bezpieczne czy może zastosować jakieś połączenie szyfrowane (jakie? shtml)
Proszę o pomoc i pozdrawiam :)