Actualmente estoy trabajando en una aplicación de usuario final de Windows 10 utilizando la plataforma UWP de Microsoft. Dentro de esta aplicación, el usuario final podrá autenticarse utilizando un servicio outh2 SSO.
Así que aquí está la pregunta:
¿Dónde debería la aplicación cliente (la aplicación de Windows 10) almacenar el token de acceso y los tokens de actualización?
He estado buscando una múltiples opciones:
-
Solo guarda el token de acceso y el token de actualización en el Almacén de contraseñas de Windows a nivel de usuario (no cifrado).
-
Use el proveedor de protección de datos para el cifrado y almacene los valores del token en un archivo de configuración simple.
¿Qué harían ustedes?
El objetivo principal es mantener las credenciales a salvo del malware que podría robar los tokens y también asegurarme de que la única persona que puede ver los valores del token es mi aplicación y el usuario final (la persona que usó el SSO servicio).