Autenticazione di lunga durata per l'app mobile nativa

Naviga le tue risposte
1

Sto lavorando su un'app mobile che dovrebbe avere sia buona sicurezza che UX.

Il mio back-end memorizza le credenziali dalla sua parte. Non ci sono servizi di autenticazione di terze parti. Inoltre, l'app non dovrebbe avere viste Web come parte del processo di autenticazione. E infine dovrebbe avere una sessione di lunga durata.

All'inizio pensavo al solito accesso breve e al lungo sistema di aggiornamento dei token. Tuttavia, finché le app mobili vengono scaricate sui dispositivi degli utenti non posso essere sicuro che qualcuno non ruberà alcuni di questi token. Quindi, in pratica, non vi è alcun motivo per creare questi due token.

Quindi potrebbe esserci un altro modo per autenticare l'utente in modo più sicuro con le funzionalità descritte sopra?

    
posta Alexei Malashkevich 06.05.2018 - 11:26
fonte

1 risposta

1

TL; DR : i token di aggiornamento sono la soluzione migliore. StackOverflow ha alcune idee su come migliorare la sicurezza.

Se ti capisco correttamente, ciò di cui hai bisogno è un meccanismo attraverso il quale l'utente possa autenticarsi all'app per qualsiasi cosa essi debbano fare. Senti che i token di accesso possono essere rubati da qualche altra app o utente root, quindi desideri qualcosa di diverso.

Esistono due approcci principali che è possibile eseguire quando si autenticano gli utenti per le loro richieste:

  • Chiedi all'utente di autenticarsi ogni volta
  • Memorizza alcune prove di autenticazione e usalo

Chiaramente la prima opzione non ti sarà utile se desideri una sessione a lunga durata e la sua UX non valida.

Quindi è assolutamente necessario memorizzare qualcosa da qualche parte. Invece di memorizzare le credenziali effettive di un utente, credo che memorizzare i token che l'aggiornamento sia sempre migliore. Puoi leggere alcuni importanti reddit e StackOverflow post.

    
risposta data 06.05.2018 - 15:55
fonte

Leggi altre domande sui tag

ID sessione nel primo client Ciao È sufficiente memorizzare un ID utente in JWT per verificare l'identità?