Чтобы пользователь не мог повторно вводить учетные данные, можно ли выбрать файл, содержащий ключ?
Если срок действия первого SPA-токена в автономном режиме истекает, приложение должно попросить пользователя снова пройти аутентификацию. Чтобы сделать это менее раздражающим безопасным способом, я подумал о том, чтобы предоставить пользователю файл, который служит ключом. Пользователь просто указывает на файл, чтобы подтвердить свою личность снова.
Я посмотрел на OWASP, oAuth и oAuth2, прочитал о защите веб-приложений на SO и других источниках, но не смог найти эту технику.
Проектируемый рабочий процесс:
// Register and get confirmation email
// Confirm and receive text file as key
// Login first online with uid & pwd
// Receive a secure cookie and an access token
// App syncs using token
// On expiration the app asks for key file
// User provides it
Будет ли эта стратегия менее безопасной, чем повторный ввод учетных данных?
Есть ли какие-то неочевидные недостатки с ним?
Было бы здорово узнать ваше мнение, опыт и / или дополнительную информацию!