Ho un'app Web in esecuzione che utilizza un provider OAuth esterno (Reddit) per accedere con. Voglio integrare questa app con l'app mobile di qualcun altro e voglio renderla il più semplice possibile per sviluppatori e utenti. Non desidero visualizzare più finestre di conferma OAuth e memorizzare più token se non è necessario.
La mia domanda è: quali sono i problemi di sicurezza legati al riutilizzo di un token di accesso per più app? L'app mobile può semplicemente passare un token di accesso Reddit attualmente valido alla mia app Web e io lo utilizzo invece di recuperare il mio token di accesso e accesso da Reddit? Questo creerebbe problemi di sicurezza dal momento che il token viene tecnicamente riutilizzato anche se è della stessa "famiglia di app"?
Il token verrebbe passato in un'intestazione all'app Web / API e l'app Web e l'app mobile condivideranno quindi la stessa app secret.
Il mio istinto dice che probabilmente non è una grande idea e / o contro la maggior parte dei ToS. Ma questa sarebbe una soluzione molto più semplice rispetto a dover gestire un altro token nell'app mobile solo per poter parlare con la mia app Web.