Sto provando a costruire un'app per iOS, ho scritto il codice e tutto, e ora sto implementando le API per comunicare con il database.
- L'app utilizzerà HTTPS e POST Requests per comunicare con l'API.
- Utenti Le password vengono sottoposte a hash con l'algoritmo Argon2.
- Non ci sono opzioni di login di terze parti (Facebook, G +, ecc.)
- Non ci sono password codificate nell'app.
- I nomi utente, le password hash e tutte le altre informazioni sono memorizzate nel database.
Mentre sto implementando le API mi sono reso conto che un utente può impersonare un altro utente, che non esiste un'autenticazione dell'identità, che mi è venuta in mente un'idea ID Auth e voglio vedere quanto sia efficiente.
- L'idea: ogni volta che un utente accede all'app, l'app prenderà l'UDID e lo invierà all'API e l'API lo cancellerà usando lo stesso algoritmo (Argon2) e lo memorizzerà nel database, quando l'utente cerca di fare, per esempio, cambiare il loro nome o inviare un messaggio a un altro utente, l'app invierà UDID all'API per verificare l'identità dell'utente, in tal caso, quindi l'azione verrà eseguita.
È sicuro? se no, come posso migliorarlo, o cosa dovrei fare?