Estoy trabajando en un nuevo servicio de autenticación para mi empresa. Tenemos la aplicación web (asp.net) y la API por separado. La API es utilizada por integradores externos y también por nuestras propias aplicaciones móviles.
Para las aplicaciones móviles, muchas personas utilizan el inicio de sesión automático disponible a través de Enlaces de activos digitales y Google Smart Lock. Para el usuario, significa que si ingresó su contraseña en nuestro sitio web y guardó las credenciales, no hay necesidad de ingresarlas nuevamente en la aplicación móvil.
Actualmente utilizamos nuestra autenticación personalizada a través del punto final de API que las aplicaciones están usando. Cuando la aplicación tiene las credenciales del usuario, las envía al punto final de la API y obtiene los tokens de acceso / actualización nuevamente, y el usuario se registra de inmediato, lo que es una buena experiencia para el usuario.
Todos los artículos que leí sobre la autenticación de aplicaciones móviles recomiendan el uso de Oauth2 / OpenId Connect (código de autorización o flujo híbrido) pero en ninguna parte mencionan el impacto en UX: ahora los usuarios tienen que usar el navegador e ingresar las credenciales de nuevo por cada nueva aplicación que instalen. - Los enlaces de activos digitales ya no funcionarán. Además, no he visto mucho uso de los flujos de redireccionamiento al navegador cuando uso aplicaciones móviles.
Si aún preferimos usar OAuth2 / OpenID Connect solo para nuestra autenticación, ¿es posible de alguna manera usar OAuth2 con enlaces de activos digitales y lograr el mismo nivel de experiencia de usuario que con la autenticación a través de la API? ¿Alguien más tuvo este problema con las aplicaciones móviles y cómo se resolvió?