Estoy trabajando en una aplicación móvil que debería tener buena seguridad y UX.
Mi backend almacena credenciales en su lado. No hay servicios de autenticación de terceros. Además, la aplicación no debería tener vistas web como parte del proceso de autenticación. Y finalmente debería tener una sesión de larga duración.
Al principio estaba pensando en el acceso habitual y el sistema de token de actualización largo. Sin embargo, mientras se descarguen las aplicaciones móviles en los dispositivos de los usuarios, no puedo estar seguro de que alguien no haya robado algunas de estas fichas. Así que, básicamente, ni siquiera hay razón para hacer estos dos tokens.
Entonces, ¿puede haber alguna otra manera de autenticar al usuario de manera más segura con las funciones descritas anteriormente?