REST経由でリモートJavaサービスと通信するモバイルアプリケーションを作成しています。私は自分の(SpringBoot)Webサービスをhttps保護で保護しています(データの性質上、安全である必要があります)が、私の質問はhttps呼び出しを保護するために使用するユーザー/パスワードです。サービスユーザーまたはパブリックユーザーとのセキュアなRESTエンドポイント
httpsヘッダーで使用するユーザー名とパスワードは、クライアント(モバイルアプリ)とJavaサービスが知っているサービスアカウントか、パブリックユーザーのユーザー名とパスワードである必要がありますか?最も簡単なオプションはサービスアカウントを使用することだけですが、モバイルアプリにはそのような詳細が組み込まれており、(コンパイルされた形式ではあるが)一般に配布されることを意味します。
他の方法でユーザーのユーザー名とパスワードを使用するということは、ログオンRESTエンドポイントを開いて非セキュアにする必要があることを意味しますが、それはちょっと気になることです。
お返事ありがとうございます。私が本当に理解しようとしているのは、会話中にサービスが完全に暗号化されたときです。 – user1387735