Ho sviluppato un'applicazione client che parla su un'API REST a un server. Il modo in cui funziona l'applicazione è quello di inviare la coppia username / pwd nel login iniziale al server e quindi rispondere con un token di autenticazione sotto forma di GUID appena generato.
Il client utilizza il GUID per parlare con il server per il resto della sessione (per sempre finché la memoria locale non viene cancellata). La pagina di accesso richiede la possibilità di rimanere connessi. Per ottenere ciò, memorizzo il token GUID nella memoria locale. Se la chiave è presente, si registra automaticamente nell'app.
Tutte le comunicazioni avvengono su SSL, quindi non sono preoccupato per la sicurezza dei dati o del MITM, ma sono preoccupato per la sicurezza del token memorizzato nella memoria locale.
Alcune domande:
- Dovrei crittografare ulteriormente il GUID? Questo mi dà qualcosa?
- La memorizzazione del token di autenticazione GUID nella memoria locale è un grosso rischio per la sicurezza? Vale la pena assicurarsi?
- La memorizzazione del token all'interno di un cookie migliora le cose?
Ho anche pensato che il server generasse nuovi token ogni nuovo accesso e riducesse la finestra di attacco, ma ciò impedirebbe il funzionamento della funzione "ricordami di me".