La seguridad es un concepto relativo. El equilibrio se encuentra a menudo en algún lugar entre la conveniencia y la percepción de amenaza (¡ambos son dominios subjetivos!).
En general, yo diría que las aplicaciones móviles que mantienen sesiones autenticadas durante largos períodos de tiempo no son "tan seguras como podrían ser" si expiraran esas sesiones con más frecuencia.
Sin embargo, es útil examinar las dos amenazas principales contra las cuales la expiración de la sesión es una protección:
- Cierto (no todo) uso compartido de escenarios de dispositivos
- secuestro de sesión
Los dispositivos móviles son en su mayoría dispositivos personales, las aplicaciones móviles tienen una exposición a amenazas relativamente menor que, por ejemplo, una pestaña del navegador en una computadora portátil / sistema de escritorio, donde otro usuario podría (con mayor probabilidad) usar el sistema, abrir una pestaña del historial y encontrar una Cuenta registrada.
Existen otras protecciones contra el secuestro de sesiones, como el uso de nonces por conversación y la detección de cambio de IP del cliente (controvertido). Si una aplicación específica usa alguna protección contra esto o no es un detalle importante pero a menudo falta. :)