Estoy desarrollando una API REST de back-end para una de mis aplicaciones móviles. Estoy buscando crear un sistema de autenticación basado en token que permita un inicio de sesión persistente y me pregunto si hay fallas de seguridad que puedan resultar de ello.
Aquí está un resumen de mi plan:
: el usuario autentica sus credenciales en el servidor (Nota: todas las contraseñas se guardarán en una tabla de usuarios hipotéticos y se incluirán en hasted + salted)
-Asumiendo que las credenciales son correctas y verificadas, el servidor genera un token de autenticación que se crea al concatenar el nombre de usuario, una marca de tiempo y una cadena de texto aleatoria. La concatenación será hash (el hash será el token)
: este hash se almacena en la base de datos y se transmite nuevamente al cliente (mediante SSL), que se almacenará y enviará en los encabezados junto con el nombre de usuario para cada solicitud que el cliente realice.
: el servidor verifica el token y el nombre de usuario para que coincidan con los de la base de datos.
-Nota: Cada vez que se realice un nuevo inicio de sesión exitoso, se generará un nuevo token y luego se reemplazará en la base de datos, lo que evitará que múltiples dispositivos se registren en la cuenta a la vez.
Suponiendo que todas las consultas de base de datos están parametrizadas, ¿qué otros tipos de vulnerabilidades hipotéticas podrían surgir al usar un sistema como este?