スキーマから、ベアラー トークン、ログイン、および md5 ハッシュ化パスワードを傍受することは可能ですか?
REST API でこれらのトランザクション/交換を保護するために、クライアントにも HTTPS を使用する必要がありますか?
スキーマがどこで行われるかによって異なります。そのため、VPN 接続で発生した場合、通信をさらに暗号化する必要はおそらくありません。
クライアントが「標準」の方法でログインページにアクセスすると仮定します。たとえば、後で任意のコンピューターから任意の Web ブラウザーでアクセスできるようにしたいログインページがあり、これはおそらくあなたが探しているものです (次に、詳細):
ログイン/パスワード:
クライアントがこれらの情報を HTTPS ページではなく HTTP ページに提供する場合、後でそのデータをどう処理しても、そのページに送信されると平文として傍受される可能性があります。
トークン
上の図は、ログイン資格情報を取得していることを示しています。パスワードの md5 ハッシュを作成し、その情報を HTTPS で保護されたページに転送してトークンを返します (資格情報が間違っている場合はそうではありません)。
ただし、HTTPS で保護されたシステムはトークンをユーザーに送り返します。ユーザーはそれを HTTP 経由でクライアントに送信するため、クリアテキストも傍受できます。
おそらく欲しいもの:
クライアントにログイン ページへの HTTPS で保護された接続を確立させ、HTTPs で保護されたログイン資格情報を配信し、それらが有効な場合は、確立された HTTPS で保護された接続内でトークンを受け取ります。