Android-服务器-安全发送密码

Question

我正在发布我的第一个android应用程序，我对服务器的安全性有怀疑。

我按照教程使用sha1在header中添加安全性，一切进行得很顺利。

教程

问题是服务器必须知道用户的密码，客户端必须安全地发送密码。

是否必须在第一次发送密码时使用https配置服务器？我应该总是使用https而忘记http头吗？

除了https之外，是否还有另一种安全的替代方案用于安全密码发送？

我对这些基本概念感到困惑..。

我需要介绍一些安全性，以使网址不能被其他人使用。它不是用户密码，它是我发送的唯一字符串，用于在服务器上进行比较，并丢弃或接受未来的请求。谢谢。

Answer 1

请始终使用HTTPS: Narf

1-将https添加到服务器(ubuntu14.04，e2c Amazon)，并使用新的未签名证书

https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-certificate-on-apache-for-ubuntu-14-04

2-通过没有签名的证书连接到服务器

https://developer.android.com/training/articles/security-ssl.html#SelfSigned

并解决授权错误：

OkHttp信任证书

Google的例子很好，但是我们下载了一张图片，我们有兴趣提出请求，我已经这样做了：

如何做一个来自Android的HTTPS帖子？

若要向请求添加参数：

如何使用POST向HttpURLConnection添加参数

为我工作