Sto sviluppando un'applicazione iOS e una pagina Web, entrambi utilizzano lo stesso back-end di Parse.
La pagina Web contiene alcune funzionalità che non sono disponibili nell'applicazione iOS. Pertanto vorrei presentare all'utente un'opzione per aprire la pagina iniziale dall'app. Dato che l'utente ha già effettuato l'accesso prima nell'app, desidero saltare la procedura di accesso quando viene aperta la pagina iniziale.
Ho una soluzione nella mia testa per la quale vorrei la tua opinione. Quando l'utente fa clic su un link nell'app, l'app chiamerà per es. La funzione generateToken in Parse che creerebbe un token casuale, la memorizzerà con una data di scadenza per questo utente e la restituirà all'app. L'app aprirà quindi la pagina Web con il parametro di query token = newly_generated_token o passerà il valore del token nelle intestazioni http se ciò è possibile.
Alla nuova richiesta il codice del server controllerebbe se il parametro (o intestazione) token esiste, controlla il valore di token db e accede all'utente appropriato in cui trovare la corrispondenza. Successivamente il token sarebbe stato invalidato. Se la richiesta non conterrà alcun parametro 'token', passerà la normale autenticazione e verrà visualizzata la pagina di accesso. Tutta la comunicazione sarebbe sopra https.
Ho eliminato l'attacco di riproduzione invalidando il token quando usato. È vulnerabile a qualsiasi altro attacco? O c'è un altro modo per farlo?
Qualsiasi aiuto apprezzato. Grazie!