Actualmente, en medio de un proceso bastante largo de decisión sobre el uso de TouchID dentro de una aplicación que se está desarrollando debido a problemas de seguridad, y se preguntó si alguien tenía algún consejo.
La idea desde el punto de vista del producto es que un usuario puede registrarse con la aplicación con un nombre de usuario / contraseña (flujo de bog estándar en caso de retroceso para dispositivos sin identificación táctil) y luego en una fecha posterior, si activado a través de las preferencias de la aplicación, use el sistema TouchID para 'iniciar sesión' en la aplicación en lugar de escribir un nombre de usuario / contraseña nuevamente.
Mi preocupación es que, de alguna manera, esto significa que tenemos que almacenar algo en el dispositivo (que se puede recuperar al tocarlo con éxito), lo que puede autenticar al usuario y permitirle acceder a la API (a través del token JWT, pero probablemente no importa).
Esto va en contra de casi todo lo que he leído y en el que he estado involucrado en lo que respecta al desarrollo de aplicaciones móviles, que almacena cualquier cosa sensible en el dispositivo cliente y se abre a un vector de ataque.
Sin embargo, muchas aplicaciones ya lo hacen, así que me pregunto cuál sería un proceso típico para habilitar tal característica.
La aplicación es sensible por naturaleza, tiene alguna gestión de información personal que sería mala si se filtrara, si esto hace una diferencia en el enfoque.
Gracias de antemano