La sicurezza è un concetto relativo. L'equilibrio si trova spesso da qualche parte tra la convenienza e la percezione della minaccia (entrambi sono domini soggettivi!).
In generale, direi che le app per dispositivi mobili che mantengono sessioni autenticate per lunghi periodi non sono "sicure come potrebbero essere" se queste scadessero più frequentemente.
Tuttavia, è utile esaminare le due principali minacce che la scadenza della sessione è una protezione contro:
- Alcuni (non tutti) l'uso condiviso di scenari di dispositivo
- Dirottamento della sessione
I dispositivi mobili sono in gran parte dispositivi personali, le app mobili hanno un'esposizione alle minacce relativamente inferiore rispetto a una scheda del browser su un laptop / desktop system - dove un altro utente potrebbe utilizzare (con maggiore probabilità) il sistema, aprire una scheda dalla cronologia e trovare un account registrato.
Esistono altre protezioni contro il dirottamento di sessione, come l'uso di nonces per-conversazione e rilevamento di IP-client (controverso). Se un'app specifica utilizza qualsiasi protezione contro questo o no è un dettaglio importante ma spesso mancante. :)