Ho una Apache Cordova app mobile ibrida che ha bisogno di autenticare gli utenti, ma non vogliamo richiedere le credenziali ogni volta l'app è utilizzata.
Mi sono venute in mente alcune opzioni:
-
Archivia la password crittografata utilizzando la crittografia a chiave pubblica, in modo che solo il server possa decrittografarla ed eseguire l'autenticazione. Tuttavia, capisco che è una cattiva pratica che nel caso in cui la password venga compromessa, l'intera suite di applicazioni che utilizza l'SSO sarebbe compromessa.
-
Utilizza l'autenticazione basata su certificato client ... Ha senso?
Ci sono altre scelte?