Używanie plików cookie/sesji do uwierzytelniania aplikacji mobilnych?

Question

Czy jest jakikolwiek powód, dla którego nie powinienem używać plików cookie/sesji dla natywnych aplikacji mobilnych, zwykle używanych przez przeglądarki, do uwierzytelniania z moim serwerem i do kolejnych wywołań API?

Wyjaśnienie: Wydaje się, że de facto metoda uwierzytelniania klientów mobilnych na żeton na podstawie systemów jak OAuth/XAUTH. Dlaczego tradycyjne metody przeglądarki nie wystarczą?

Answer 1

Zależy to od aplikacji (dokładniejszy scenariusz zagrożenia).

Niektóre z najczęstszych zagrożeń są - podsłuch (-> należy szyfrować) - człowiek w środku (-> musi uwierzytelnić drugą stronę) - ... jakie są twoje? (jak bezpieczny jest Twój sklep z ciasteczkami, ...)

Plik cookie na początku zawiera jedynie token jako dowód, że kiedyś udało się dokonać uwierzytelnienia. Jeśli plik cookie jest ważny wystarczająco długo lub nie jest zaszyfrowany, istnieje duża szansa, że ​​ktoś kiedyś się dowie, że ...

Ponadto należy wziąć pod uwagę, jakie dodatkowe środki bezpieczeństwa obowiązują, na początku i najistotniejsze SSL.

Jaka jest twoja metoda uwierzytelniania (jakie poświadczenia wymaga zalogowanie się klienta)? Czy masz możliwość pracy z uwierzytelnianiem w oparciu o infrastrukturę PPK lub czy komunikacja jest "ad-hoc"?

EDIT

Wrt. do OpenAuth: o ile zrozumiałem protokół, jego główną troską jest delegacja uwierzytelniania. Scenariusz, w którym upoważniasz agenta do wykonywania bardzo konkretnych zadań w imieniu innej tożsamości. W ten sposób nie rozrzucacie poświadczeń w całej sieci. Jeśli masz OpenAuth w miejscu, klient może również użyć tego protokołu bezpośrednio. Więc po co zawracać sobie głowę dodawaniem kolejnego. Ale OpenAuth wyraźnie stwierdza, że ​​przy bezpośrednim scenariuszu klienta ponownie napotkasz problemy bezpieczeństwa, ponieważ teraz token jest dostępny na urządzeniu i musi być odpowiednio chroniony (jak musisz zrobić z plikiem cookie).