Bearer Tokens auf iOS und Android speichern und absichern

bitmuncher

Senior-Nerd
Ich habe vor eine Mobile-App mit einen Endpoint einer Webapplikation zu verbinden. Für die Authentifizierung bei HTTP-Requests wird ein Bearer Token verwendet. Es wird beim Login auf der Webapp erstellt und ist für 30 Tage gültig. Bei jedem Request wird die Gültigkeit verlängert, so dass das Token dann wieder 30 Tage gültig ist. Das Token wird verschlüsselt in der App abgelegt um es in den folgenden Anfragen an die HTTP-Requests anzuhängen. Zum Speichern und verschlüsseln wird kSecClassGenericPassword (iOS) und das Android Keystore-System verwendet und dann wird es in der Apple Keychain bzw. den Android Shared Preferences abgelegt. Die Frage ist: Ist das ok so oder habt ihr Verbesserungsvorschläge? Welche Angriffspunkte seht ihr gegebenenfalls?
 
F

Fluffy

Guest
Ich bin kein Mobil-Dev, aber habe in Teams gearbeitet wo Mobil-Devs Applikationen fuer Endpunkte des Server-Dev-Teams geschrieben haben.
Und die sind halt wenn es super sicher sein sollte(denke mal Mobile Banking), so vorgegangen das sie den Teil der Applikation selbst geschrieben haben(C/C++/Rust) und dann halt verschiedene verifizierungen laufen lassen.
Grund dafuer ist halt gewesen, das wenn es einen Angriff auf diese Keystores gibt, alles kompromitiert ist, und updates auf mobilen Platformen sind halt immer so eine Sache.
Ob sich da was in den letzten paar Jahren getan hat weiss ich nicht.
Allgemein ausgedrueckt sind diese Keystore-Systeme aus der ganzen Plattform heraus erreichbar,, nicht so bei einer eingebetteten Loesung.

So hab ich das zumindest wahrgenommen und wurde mir auch so mal vor Zeiten kommuniziert.

Cheers

Fluffy
 
Oben