Esta pregunta habla sobre el tiempo de la sesión para aplicaciones web. Me he dado cuenta de que la mayoría de las aplicaciones para teléfonos móviles que uso nunca me piden que vuelva a iniciar sesión después del primer inicio de sesión.
Estas aplicaciones móviles llaman a los servicios web para realizar la funcionalidad. Por lo tanto, deben utilizar algún sistema de autorización basado en tokens.
Me parece que, debido a que la sesión / token nunca caduca, si alguien más tiene acceso al token / sesión podría suplantar al usuario cuyo token robó.
Mis preguntas son, a) ¿Son correctas las suposiciones anteriores? b) ¿Cómo las aplicaciones de teléfonos móviles no cierran la sesión después de un período de tiempo y aún así logran una buena seguridad?