Sto lavorando su un nuovo servizio di autenticazione per la mia azienda. Abbiamo un'app Web (asp.net) e un'API separata. L'API viene utilizzata da integratori di terze parti e anche dalle nostre app mobili.
Per le app mobili, molte persone utilizzano l'auto-accesso disponibile tramite Collegamenti alle risorse digitali e Google Smart Lock. Per l'utente significa che se ha immesso la password sul nostro sito Web e le credenziali salvate, non è necessario inserirle nuovamente nell'app mobile.
Attualmente utilizziamo la nostra autenticazione personalizzata tramite l'endpoint dell'API che le app stanno utilizzando. Quando l'app ha le credenziali dell'utente, le invia all'endpoint API e ottiene i token di accesso / aggiornamento, e l'utente viene registrato immediatamente, il che è una buona esperienza utente.
Tutti gli articoli che ho letto sull'autenticazione delle app mobili raccomandano l'uso di Oauth2 / OpenId Connect (codice di autorizzazione o flusso ibrido) ma non menzionano l'impatto su UX - ora gli utenti devono utilizzare il browser e inserire nuovamente le credenziali per ogni nuova app che hanno installato - i collegamenti alle risorse digitali non funzioneranno più. Inoltre non ho visto molto uso dei flussi di reindirizzamento verso browser quando si utilizzano app mobili.
Se preferiamo ancora usare OAuth2 / OpenID Connect solo per la nostra auth, è possibile in qualche modo utilizzare OAuth2 con Digital Asset Links e raggiungere lo stesso livello di esperienza utente dell'autenticazione tramite l'API? Qualcun altro ha avuto questo problema con le app mobili e come è stato risolto?