Perché le sessioni di app del telefono cellulare non sono mai scadute?

Question

Perché le sessioni di app del telefono cellulare non sono mai scadute?

#1 da (3 voti)

1

Questa domanda parla del tempo di sessione fuori per le applicazioni web. Ho notato che la maggior parte delle app per telefoni cellulari che uso non mi chiede mai di effettuare nuovamente l'accesso dopo il primo accesso.

Queste app mobili chiamano i servizi Web per portare a termine la funzionalità. Quindi devono utilizzare un sistema di autorizzazione basato su token.

Mi sembra che, poiché la sessione / token non scade mai, se qualcun altro accede al token / sessione sarebbero in grado di impersonare l'utente di cui hanno rubato il token.

Le mie domande sono, a) Le ipotesi sopra sono corrette? b) In che modo le app per telefoni cellulari non effettuano il logout dopo un certo periodo di tempo e ottengono comunque una buona sicurezza?

api authentication mobile authorization

posta Can't Tell 10.06.2016 - 16:41

fonte

1 risposta

Leggi altre domande sui tag api authentication mobile authorization

Come modificare il codice SSL predefinito / preferito in Linux? Base per "fidarsi" di codice e servizi di terze parti

score 3 · Answer 1

Possono o non possono utilizzare l'autorizzazione basata su token e possono o meno programmare il timeout delle sessioni. Il motivo per cui non ti hanno mai chiesto di accedere di nuovo è completamente separato e per comodità. Gli utenti non vogliono per accedere più e più volte, e le app che li rendono causa di essere infelici, e essere infelici li induce a dare cattive valutazioni alle app, e le cattive valutazioni rendono gli sviluppatori di le app sono infelici e agli sviluppatori di applicazioni non piace essere infelici, quindi non fanno fare agli utenti cose che non vogliono fare.

Quindi, alcuni modi in cui le app che fanno timeout della sessione ma non richiedono accessi ripetuti potrebbero gestire questo, ad esempio, memorizzare direttamente le credenziali e usarle per ottenere un token di sessione ogni ne hanno bisogno (non eccezionale) oppure possono recuperare un token di autenticazione a vita lunga al primo utilizzo che possono memorizzare come credenziali sostitutive e utilizzare quel token per recuperare un token di sessione di breve durata quando viene utilizzata l'app. (opzione migliore).