È buona norma implementare la disconnessione automatica in un'app Android dopo aver cambiato la password tramite l'app?
È buona norma implementare la disconnessione automatica in un'app Android dopo aver cambiato la password tramite l'app?
TL; DR: Sì.
Qui ci sono solo due casi:
(improbabile) L'applicazione funziona solo localmente, senza utilizzare login e password su nessun server remoto. Se non esci da anni, l'app continuerà a funzionare come se nulla fosse successo, quindi qual è il motivo per cambiare la password?
L'applicazione invia le credenziali a un server remoto per stabilire un accesso. In questo caso non devi solo disconnettere l'utente dall'applicazione Android, ma devi disconnetterli dall'istanza ogni dell'applicazione, su tutti i dispositivi su cui viene eseguita l'app e anche da tutto il Web istanze se questo è il caso. Se qualcuno ha indovinato la password dell'utente e non invalidi il tipo di token che hai, saranno in grado di continuare a utilizzare tali credenziali, anche se l'utente le modifica.
Quindi sì, registrali ovunque.
Molto probabilmente no. Se una sessione è abbastanza importante da giustificare la cessazione di una modifica della password, le sessioni probabilmente non dovrebbero durare più di 15-30 minuti per cominciare (o richiedere un PIN mobile da sbloccare). In caso contrario, lo schermo di modifica della password dovrebbe richiedere all'utente di rivedere le sessioni esistenti e consentire all'utente di scegliere di interrompere le sessioni che non riconoscono. Sarebbe un utente ostile forzare tutte le sessioni a terminare automaticamente tutte le sessioni senza scelta. Tra tutte le misure di sicurezza che potresti scegliere di implementare, questa è l'unica politica che causerebbe il maggior numero di inconvenienti con solo vantaggi marginali per la sicurezza.
Leggi altre domande sui tag android password-reset