Rails、Desive和android。。我希望android应用程序保持登录状态

以下是我对rails服务器和android的看法。请让我知道以下步骤是否合理

首先，当android应用程序第一次启动时，用户将输入他/她的电子邮件地址和密码

然后，应用程序将向rails服务器请求对用户进行身份验证，服务器将使用令牌（在令牌身份验证中）进行应答

应用程序存储令牌并为后续请求附加令牌。（示例：）服务器将检查令牌是否存在于用户表中，然后以JSON格式将凭据数据发送回应用程序

我的问题是,

• 这是第一次，当有一个在HTML正文中包含电子邮件地址和密码的服务器请求时（在POST的情况下），它是安全的吗？如果用户使用wifi，整个纯文本将向公众公开。是否有任何安全的方式向服务器发送电子邮件和密码？是否需要SSL或非对称加密或HTTPS
• 从服务器接收到身份验证令牌后，应用程序将为后续请求附加该令牌。换句话说，auth令牌也将作为纯文本公开。有没有安全的方法来提出请求？如果有人转储一个完整的请求并将其发送到服务器，服务器如何知道该请求是否有效

---

因为我对ror和android应用程序还很陌生，任何帮助都会大大缓解我的痛苦。

我想我已经明白了

首先，android应用程序需要使用电子邮件和密码登录。 服务器将使用身份验证令牌进行响应

应用程序将使用令牌访问凭据数据，但请求应作为HTTPS发送

Jav_Rock在评论中写道，所有连接都应使用HTTPS进行处理。 我计划测试HTTPS连接与HTTP相比是否提供合理的速度。 如果响应时间很重要，HTTPS可能会减慢应用程序的速度

---

测试HTTPS后，我会再次发布。

我想我知道了

首先，android应用程序需要使用电子邮件和密码登录。 服务器将使用身份验证令牌进行响应

应用程序将使用令牌访问凭据数据，但请求应作为HTTPS发送

Jav_Rock在评论中写道，所有连接都应使用HTTPS进行处理。 我计划测试HTTPS连接与HTTP相比是否提供合理的速度。 如果响应时间很重要，HTTPS可能会减慢应用程序的速度

---

测试HTTPS后，我将再次发布。

有一件事可以解决所有问题。对所有连接使用https:）。有一件事可以解决所有问题。对所有连接使用https:）。