Я разрабатываю проект Android, где мне нужно подключиться к серверной службе С# для получения данных. Я думаю об использовании JSON, чтобы избежать накладных расходов на сообщения SOAP. Как лучше всего реализовать безопасность запроса JSON, чтобы сделать его недоступным для публики и доступным только для выделенных пользователей.
Я думаю о получении токена (или SessionID) с сервера после входа в систему с использованием SSL, и для всех вызовов службы после входа в систему будет использоваться этот токен для аутентификации.
Но как мне использовать токен после входа в систему -
1).через HTTP (легко ли его перехватить?)
2) через HTTP (будет ли проблема с производительностью, если каждый вызов будет осуществляться через HTTP?)
Не могли бы вы дать некоторые рекомендации о том, как реализовать его, чтобы обеспечить безопасность без ущерба для производительности?
ОБНОВЛЕНИЕ!
Приложение Android находится в гибридном режиме, состоящем из веб-просмотров и нативных действий. Как мне поддерживать сеанс, если токен основан на сеансе? Пользователь может просто войти в систему и быть неактивным в течение длительного периода времени. Должен ли я просто увеличить время ожидания сеанса?