モバイルアプリケーション認証にクッキー/セッションを使用していますか？

Question

ブラウザで通常使用されるネイティブモバイルアプリケーションで、Cookie /セッションを使用してサーバーとの認証やその後のAPI呼び出しを行うべきではない理由はありますか？

明確化：モバイルクライアントでの事実上の認証方法は、OAuth/XAuthのようなトークンベースのシステムだと思われます。なぜ従来のブラウザの方法では十分ではないのですか？

Answer 1

これはアプリケーションによって異なります（より厳密な脅威シナリオ）。真ん中の男盗聴（ - - - >を暗号化する必要があります） （ - >他のパーティーを認証する必要があります） -

最も一般的な脅威のいくつかは です...あなたは何ですか？ （あなたのクッキーストアはどれくらい安全ですか？）

クッキーは、最初に証明書としてトークンを保持しているに過ぎません。クッキーの長さが有効であるか暗号化されていない場合は、いつでも誰かが見つかる可能性があります。

さらに、最初に最も重要なセキュリティ対策SSL。

認証方法（クライアントはどのような認証情報を使用してログオンする必要がありますか）を教えてください。 PPKインフラストラクチャに基づいた認証を使用する可能性はありますか、またはコミュニケーションは「アドホック」ですか？

編集

wrt。 OpenAuthへ：私がプロトコルを理解する限り、主な関心事は認証委任です。エージェントが別のIDに代わって特定のタスクを実行する権限を与えるシナリオ。あなたはウェブ上であなたの信任状を散らすことはできません。 OpenAuthがあれば、クライアントもそのプロトコルを直接使用できます。だからなぜ別のものを追加するのを悩ます。しかし、OpenAuthは、ダイレクトクライアントのシナリオでは、トークンがデバイス上で利用可能になり、（トークンがデバイス上で利用可能になり、それに応じて保護されなければならないので）セキュリティの問題に直面することを明示しています。