У меня есть внутренний сервер, реализующий аутентификацию на основе JWT для REST API.В то время как интерфейсное веб-приложение разработано в angular js, я планирую хранить JWT в HTTPOnly cookie (с защитой CSRF).Эти API REST также доступны из собственного приложения для Android.Тем не менее, похоже, что родное приложение для Android не может устанавливать куки.Я хотел бы избежать хранения JWT в локальном хранилище браузера.
Существует ли распространенный и безопасный способ реализации аутентификации на основе JWT для API REST, который подходит как для веб-приложения, так и для собственного мобильного приложения для Android?
Ранее я думал об использовании ПОЛЬЗОВАТЕЛЬСКОГО АГЕНТА, чтобы различать веб-приложение и мобильное приложение и реализовывать два разных механизма аутентификации.