Sesión de autenticación de larga duración para aplicaciones móviles nativas

Navega tus respuestas
1

Estoy trabajando en una aplicación móvil que debería tener buena seguridad y UX.

Mi backend almacena credenciales en su lado. No hay servicios de autenticación de terceros. Además, la aplicación no debería tener vistas web como parte del proceso de autenticación. Y finalmente debería tener una sesión de larga duración.

Al principio estaba pensando en el acceso habitual y el sistema de token de actualización largo. Sin embargo, mientras se descarguen las aplicaciones móviles en los dispositivos de los usuarios, no puedo estar seguro de que alguien no haya robado algunas de estas fichas. Así que, básicamente, ni siquiera hay razón para hacer estos dos tokens.

Entonces, ¿puede haber alguna otra manera de autenticar al usuario de manera más segura con las funciones descritas anteriormente?

    
pregunta Alexei Malashkevich 06.05.2018 - 11:26
fuente

1 respuesta

1

TL; DR : los tokens de actualización son su mejor apuesta. StackOverflow tiene algunas ideas sobre cómo mejorar la seguridad.

Si lo entiendo correctamente, lo que necesita es un mecanismo mediante el cual el usuario pueda autenticarse ante la aplicación para lo que sea que necesite hacer. Usted siente que posiblemente, otras aplicaciones o usuarios root pueden robar tokens de acceso, por lo que usted desea algo diferente.

Hay dos enfoques principales que puede tomar al autenticar usuarios para sus solicitudes:

  • Pídale al usuario que se autentique cada vez
  • Almacene alguna prueba de autenticación y úsela

Claramente, la primera opción no será útil para ti, ya que quieres una sesión de larga duración y también su mala experiencia de usuario.

Definitivamente necesitas almacenar algo en algún lugar. En lugar de almacenar las credenciales reales de un usuario, creo que almacenar tokens que actualizar siempre es mejor. Puedes leer algunos reddit y StackOverflow publicaciones.

    
respondido por el Limit 06.05.2018 - 15:55
fuente

Lea otras preguntas en las etiquetas

¿Es suficiente almacenar una identificación de usuario en JWT para verificar la identidad? analizando el registro del sitio web pirateado: ¿hay algún enlace entre ./etc y ./tmp al cargar archivos? [cerrado]