Sto lavorando su un'app mobile che dovrebbe avere sia buona sicurezza che UX.
Il mio back-end memorizza le credenziali dalla sua parte. Non ci sono servizi di autenticazione di terze parti. Inoltre, l'app non dovrebbe avere viste Web come parte del processo di autenticazione. E infine dovrebbe avere una sessione di lunga durata.
All'inizio pensavo al solito accesso breve e al lungo sistema di aggiornamento dei token. Tuttavia, finché le app mobili vengono scaricate sui dispositivi degli utenti non posso essere sicuro che qualcuno non ruberà alcuni di questi token. Quindi, in pratica, non vi è alcun motivo per creare questi due token.
Quindi potrebbe esserci un altro modo per autenticare l'utente in modo più sicuro con le funzionalità descritte sopra?