индивидуальная разработка приложений для внутреннего использования

Ничто не убивает проект веб-сервиса и мобильного приложения быстрее, чем авторизация. Пользователи регистрируются на вашем веб—сайте, затем пытаются войти в приложение, но оно их не распознает. Или они сбрасывают пароль на мобильном устройстве, и веб-сессия продолжает работать со старыми учетными данными.

Решение: индивидуальная разработка приложений для внутреннего использования на основе токенов с использованием токенов обновления. Обычно используется JWT (веб-токены JSON). Ваша веб-служба выдает токен доступа с коротким сроком действия (15-60 минут) и токен обновления с длительным сроком действия (дни или недели). Оба клиента — веб— и мобильный - надежно хранят токены. Веб-пользователи с особой осторожностью используют файлы cookie HttpOnly или localStorage. Мобильные устройства используют защищенное хранилище (Keychain на iOS, EncryptedSharedPreferences на Android).

И еще одно: реализуйте единый выход из системы на всех устройствах. Когда пользователь нажимает “выйти везде”, ваша веб-служба должна аннулировать все токены обновления для этой учетной записи. В противном случае пользователь с украденным телефоном может продолжать обновляться бесконечно.