Estoy tratando de construir una aplicación iOS, escribí el código y todo, y ahora estoy implementando las API para comunicarme con la base de datos.
- La aplicación usará solicitudes HTTPS y POST para comunicarse con la API.
- Las contraseñas de los usuarios se procesan mediante el algoritmo Argon2.
- No hay opciones de inicio de sesión de terceros (Facebook, G +, etc.)
- No hay contraseñas codificadas en la aplicación en absoluto.
- Los nombres de usuario, las contraseñas con hash y toda la demás información se almacenan en la base de datos.
Mientras estoy implementando las API, me di cuenta de que un usuario puede hacerse pasar por otro usuario, intuye que no hay autenticación de identidad, se me ocurrió una idea de Autenticación de ID y quiero ver qué tan eficiente es.
- La idea: cada vez que un usuario inicie sesión en la aplicación, la aplicación tomará el UDID y lo enviará a la API y la API lo hará usando el mismo algoritmo (Argon2) y lo almacenará en la base de datos, cuando el usuario Intenta hacerlo, por ejemplo, cambiar su nombre o enviar un mensaje a otro usuario, la aplicación enviará UDID a la API para verificar la identidad del usuario, si es así, entonces se llevará a cabo la acción.
¿Es seguro? Si no, ¿cómo puedo mejorarlo o qué debo hacer?