Prefazione: non ho esperienza con le applicazioni di protezione di qualsiasi tipo.
Sto creando un'app Web che utilizza l'autenticazione Google Plus per firmare gli utenti. Il mio pensiero iniziale è quello di salvare il token di accesso che viene restituito dopo l'accesso e memorizzarlo sul mio server e utilizzarlo come token di accesso per il mio app web
Ho la preoccupazione che questo non sia molto sicuro. Chiunque stia guardando il traffico di rete sulla mia app Web può vedere il token (nelle intestazioni) e può copiarlo e formare le proprie chiamate dannose. Anche se la richiesta è stata crittografata, non è possibile che sia criptata?
D'altro canto, un utente malintenzionato dovrebbe aver già effettuato l'accesso alla vittima, il che implicherebbe l'accesso fisico.