Attualmente sto lavorando a un'applicazione Windows 10 per l'utente finale che utilizza la piattaforma Microsoft UWP. All'interno di questa applicazione l'utente finale sarà in grado di autenticarsi utilizzando un servizio SSO oauth2.
Quindi ecco la domanda:
Where should the client application (the Windows 10 app) store the access token and the refresh tokens ?
Ho cercato varie opzioni:
-
Basta salvare il token di accesso e il token di aggiornamento nel Vault password di Windows a livello di utente (non crittografato).
-
Utilizza il provider di protezione dati per la crittografia e archivia i valori del token in un semplice file di configurazione.
Cosa vorresti fare?
L'obiettivo principale è per me mantenere le credenziali al riparo da malware che potrebbero rubare i token e assicurarsi che l'unica persona che può vedere i valori del token sia la mia applicazione e l'utente finale stesso (la persona che ha utilizzato l'SSO di servizio).