Azért írtam ki a kérdést, mert érdekelt mások véleménye.
Egyelőre olyan véleményt nem sikerült megformálnotok ami miatt lemondanék a cert-ről.
Lényegében te is azzal kezdted, hogy a kettő ugyanaz alapjaiban.
Az nem érv, hogy a telefont fel lehet törni, mert ezzel a topic nyitása óta tisztában vagyok.
Az sem igaz, hogy ez a megoldás nem standard, lent írtam a startssl példáját is.
A token generálás egyszerűbb és trendibb. Ez igaz.
U.I.:
A fiddler-t este amúgy kipróbáltam.
Belövök rajta egy proxy-t, akkor a saját kis cert-jét teszi be az alagút végére. Böngésző esetén ez piros certet jelent, amit ha elfogadok, akkor tudom monitorozni az adatfolyamot a beküldött POST-os username/password -ot is plain/text -ben.
1-2 app-on belül már más a sztori, amit próbáltam, ott megakadt a folyamat, mert nem fogadta el az invalid certet automatikusan, tehát mondhatjuk, hogy jól vizsgázott.