¿Por qué los sessoins de aplicaciones de teléfonos móviles nunca se agotan?

Question

¿Por qué los sessoins de aplicaciones de teléfonos móviles nunca se agotan?

#1 de Xander (3 votos)

1

Esta pregunta habla sobre el tiempo de la sesión para aplicaciones web. Me he dado cuenta de que la mayoría de las aplicaciones para teléfonos móviles que uso nunca me piden que vuelva a iniciar sesión después del primer inicio de sesión.

Estas aplicaciones móviles llaman a los servicios web para realizar la funcionalidad. Por lo tanto, deben utilizar algún sistema de autorización basado en tokens.

Me parece que, debido a que la sesión / token nunca caduca, si alguien más tiene acceso al token / sesión podría suplantar al usuario cuyo token robó.

Mis preguntas son, a) ¿Son correctas las suposiciones anteriores? b) ¿Cómo las aplicaciones de teléfonos móviles no cierran la sesión después de un período de tiempo y aún así logran una buena seguridad?

authentication authorization mobile api

pregunta Can't Tell 10.06.2016 - 16:41

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication authorization mobile api

La suite de cifrado más fuerte en Apache 2.4 Virus infectado: ¿no puede abrir sitios web antivirus?

score 3 · Answer 1

Pueden o no pueden usar la autorización basada en token, y pueden o no estar agotando las sesiones. La razón por la que nunca te piden que vuelvas a iniciar sesión es completamente separada y por conveniencia. Los usuarios no quieren para iniciar sesión una y otra vez, y las aplicaciones que los hacen sentirse infelices, y ser infeliz hace que den a las aplicaciones malas calificaciones, y las malas calificaciones hacen que los desarrolladores de Las aplicaciones no están contentas, y a los desarrolladores de aplicaciones no les gusta estar descontentos, por lo que no obligan a los usuarios a hacer cosas que no quieren hacer.

Por lo tanto, algunas formas en que las aplicaciones que do agotan el tiempo de espera de la sesión pero no requieren inicios de sesión repetidos podrían administrar esto sería, por ejemplo, almacenar las credenciales directamente y usarlas para obtener un token de sesión. cuando necesitan uno, (no excelente) o pueden estar recuperando un token de autenticación de larga duración en el primer uso que pueden almacenar como una credencial sustituta, y usar ese token para recuperar un token de sesión de corta duración cuando se usa la aplicación. (mejor opción.)