Estoy estudiando la posibilidad de escribir una API a la que se pueda acceder mediante dispositivos móviles (también somos propietarios de la aplicación móvil, no hay terceros involucrados).
Como parte del flujo de inicio de sesión, se nos ha indicado utilizar un flujo de registro de correo electrónico / contraseña, seguido de la creación de un número de pin de 5 dígitos que permitiría al usuario acceder a la aplicación la próxima vez que abra la aplicación.
Esto parece estar en desacuerdo con la mayoría de los flujos de autenticación disponibles, como oAuth, ya que parece que no hay indicios de que se use otra autenticación de pin para iniciar sesión.
Sin embargo, hay muchas aplicaciones que parecen hacer esto, así que me pregunto si están lanzando su propia solución. ¿O una combinación de servicios típicos y luego alojar algo ellos mismos?
Estoy luchando con el concepto de garantizar que el dispositivo único también esté vinculado al pin para autenticar las solicitudes correctamente dentro de la API.
Los punteros son bienvenidos, pero para algo que veo es bastante común en las aplicaciones móviles, parece que hay muy pocos detalles con respecto a los aspectos de seguridad de este tipo de autenticación.
Con agradecimientos