Есть ли причина, по которой мне не следует использовать файлы cookie/сеансы для собственных мобильных приложений, обычно используемых браузерами, для аутентификации на моем сервере и для последующих вызовов API?
Пояснение. Похоже, что де-факто методом аутентификации на мобильных клиентах являются системы на основе токенов, такие как OAuth/XAuth. Почему традиционных методов браузера недостаточно?
Это зависит от вашего приложения (точнее, вашего сценария угрозы).
Некоторые из наиболее распространенных угроз: - подслушивание (-> следует шифровать) - человек посередине (-> необходимо аутентифицировать другую сторону) - ... какие у вас? (насколько безопасен ваш магазин cookie,....)
Файл cookie сначала содержит только токен в качестве доказательства того, что когда-то вы успешно прошли аутентификацию. Если cookie действителен достаточно долго или транспорт не зашифрован, есть большая вероятность, что кто-нибудь когда-нибудь узнает...
Кроме того, вы должны принять во внимание, какие дополнительные меры безопасности используются, в первую очередь и наиболее важные SSL.
Каков ваш метод аутентификации (какие учетные данные нужны клиенту для входа в систему)? Есть ли у вас возможность работать с аутентификацией на основе инфраструктуры PPK или связь является «специальной»?
РЕДАКТИРОВАТЬ
Запись к OpenAuth: насколько я понял протокол, его главная задача — делегирование аутентификации. Сценарий, в котором вы разрешаете агенту выполнять какую-то очень конкретную задачу от имени другого удостоверения. Таким образом, вы не разбрасываете свои учетные данные по всему Интернету. Если у вас установлен OpenAuth, клиент также может напрямую использовать протокол. Так зачем добавлять еще один. Но OpenAuth прямо заявляет, что при сценарии с прямым клиентом вы снова сталкиваетесь с проблемами безопасности, поскольку теперь токен доступен на устройстве и должен быть соответствующим образом защищен (как вы должны сделать с вашим файлом cookie).
