Android客户端到REST API服务器身份验证

我有一个关于使用Node和Express的RESTAPI服务器以及Android客户端的身份验证方法的问题

我目前正在开发一个应用程序，你可以注册一个用户帐户。输入的密码用BCrypt加密，然后发送到restapi服务器。之后，用户凭据存储在MongooseDB中

登录时，Android客户端必须以某种方式进行身份验证才能访问MainActivity。输入注册期间使用的电子邮件地址和密码时，将向REST API发送查询，该API将搜索电子邮件地址。找到后，它会将包括加密密码在内的所有用户凭据返回到Android客户端。然后在这里验证密码。如果成功，应用程序将跳转到MainActivity

现在我知道这看起来并不是真正的身份验证，因为服务器不知道我正在被身份验证，也不关心。另一方面，从RESTAPI接收的密码是加密的

可以像我现在做的那样运行“认证”，或者我应该考虑做不同的事情吗？如果是这样的话，有什么简单的方法可以启动并运行正确的身份验证

谢谢

• 在你的服务器上存储电子邮件和hash+salted pw
• 当客户端向您发送匹配的email+pw组合时，将sessionID令牌和刷新令牌返回给他们，并将这两个令牌存储在您的服务器上
• 然后，SessionID应该与来自客户端的每个请求一起发送，以便服务器知道它已通过身份验证，以及请求来自谁
• sessionID应该提前到期（大约一两天，而刷新令牌则是一周），之后用户通过发送刷新令牌获得一个新的会话ID
• 如果刷新令牌已过期，用户必须再次发送电子邮件+pw，并获得两者中的一个新的
• 使用TLS1.2进行连接，否则会非常糟糕

---

或者甚至不在服务器上存储密码，而是使用Google登录和/或其他oauth，这样更安全。

如果您想保护服务器上的任何资源，这种方法是毫无价值的。假设有人不使用你的应用程序连接。这是真的。那么，实现安全身份验证的简单方法是什么呢？