Stiamo creando un'app e la registrazione dell'utente avviene nel modo seguente.
- L'utente invia tramite app: email-id / telefono e nome utente.
- Il server invia un pin per accedere all'app tramite telefono / email.
- L'utente inserisce il pin nell'app.
Dopo questo stiamo pensando a due modi in cui potremmo memorizzare alcune informazioni di autenticazione sull'app.
A. Il server invia un token utilizzato dall'app con tutte le richieste successive.
o
B. Negoziamo su una chiave sicura usando Diffie-Hellman. Poi c'è una funzione di login che include il server che invia la sfida e la risposta dell'utente. Dopo questo token viene generato, utilizzato e successivamente eliminato.
Tutte le comunicazioni avvengono su https. Anche se l'opzione B sembra migliore, l'opzione A è più semplice. Qualche ragione particolare dovremmo scegliere B? Una ragione per cui vedo non è in grado di farlo cambia token, ma ci sono ovvi rischi per la sicurezza?
Anche i commenti per migliorare A o B sono i benvenuti.