bitmuncher
Senior-Nerd
Ich habe vor eine Mobile-App mit einen Endpoint einer Webapplikation zu verbinden. Für die Authentifizierung bei HTTP-Requests wird ein Bearer Token verwendet. Es wird beim Login auf der Webapp erstellt und ist für 30 Tage gültig. Bei jedem Request wird die Gültigkeit verlängert, so dass das Token dann wieder 30 Tage gültig ist. Das Token wird verschlüsselt in der App abgelegt um es in den folgenden Anfragen an die HTTP-Requests anzuhängen. Zum Speichern und verschlüsseln wird kSecClassGenericPassword (iOS) und das Android Keystore-System verwendet und dann wird es in der Apple Keychain bzw. den Android Shared Preferences abgelegt. Die Frage ist: Ist das ok so oder habt ihr Verbesserungsvorschläge? Welche Angriffspunkte seht ihr gegebenenfalls?