Sto cercando di scrivere un'API a cui si accederà da dispositivi mobili (anche noi possediamo l'applicazione mobile, non sono coinvolte terze parti).
Come parte del flusso di accesso, siamo stati istruiti a utilizzare un flusso di registrazione email / password, seguito dalla creazione di un numero pin di 5 cifre che consentirebbe all'utente l'accesso all'applicazione alla successiva apertura dell'applicazione.
Questo sembra essere in disaccordo con la maggior parte dei flussi di autenticazione disponibili come oAuth in quanto non sembra esserci alcuna indicazione sull'utilizzo di un'ulteriore autenticazione pin per il login.
Tuttavia ci sono un sacco di applicazioni che sembrano farlo, quindi mi chiedo se stiano preparando la propria soluzione? O una combinazione di servizi tipici e poi hosting di qualcosa di loro stessi?
Sto lottando con il concetto di garantire che il dispositivo unico sia anche legato al pin per autenticare correttamente le richieste all'interno dell'API.
I puntatori sono benvenuti, ma per qualcosa che vedo è abbastanza comune nelle applicazioni mobili, sembra esserci un piccolo dettaglio prezioso in merito agli aspetti di sicurezza di questo tipo di autenticazione?
Grazie,