私はウェブ開発者です。ユーザーセッションの管理にSESSION(より正確にはCOOKIES)を使用する方法を学びました。しかし、モバイルアプリケーションに関して言えば、アプリケーションの通常の習慣に従い、安全なシステムを確保するためにシステムをどのように実装すべきかについて、私は混乱しています。現代のモバイルアプリケーションでセッションを管理する練習
最初に私が混乱しているのは、セッションをアプリケーションにどのように格納するかです。例えば、PhoneGapにはCOOKIESがなく、COOKIESの動作をシミュレートするためにローカルストレージを使用する必要があります。私はネイティブアプリケーションの開発の分野にいるいくつかの友人に尋ねました。彼らはまたAndroidでsharedpreferencesとiOSを使用して、ほとんどの場合ユーザーデータを保存するのと同様の手法を使用しています。
- モバイルアプリケーションでは、COOKIESを使用しないでください。代わりに、セッションデータの管理をアプリケーションレベルに移行する必要がありますか?セッションをアプリケーションストレージに保存する必要がありますか?これが私が最初に尋ねたいことです。
もう1つはセッションの更新についてです。ウェブサイトでは、一般的な(そして簡略化された)セッション検証ルーチンは次のようになります:ユーザーが新しいページを要求するたびに、ユーザーが提供するセッションを最初に検証します。その後、古いセッションが更新され、COOKIESに保存されます。次回は、ユーザーが新しいセッションでページを要求します。セッションが終了すると、ユーザーは再度ログインするようにリダイレクトされます。
しかし、これは今日のアプリケーションの世界がどのように見えるかと100%合わないことがあります。私は、少なくとも私の経験から決して完全にアプリケーションから完全にログアウトしていた(Facebook、Dropbox、Instagramなどの例)。彼らのセッションがどのように機能しているかについてはあまりよく分かりません。しかし、この動作を観察することで、そこにセッション満了ポリシーがないことを暗示しているようです。これは私がセキュリティコースやOWASPで学んだことから、セキュリティ上の脅威でなければならないので、私は混乱しています。
もちろん、セキュリティは大きな話題であり、すべての詳細を1つの回答で言及することは不可能ですが、全体像と私が掘り起こすことができる資料が私の質問を解決するでしょう。
ありがとうございます。