Как правильно реализовать аутентификацию в мобильном приложении?
- OAuth2 + PKCE обязательно для мобильных (предотвращает перехват auth code)
- Биометрическая аутентификация:
expo-local-authentication - Короткоживущие access tokens + персистентные refresh tokens
- Токены хранить только в Secure Store
- Для auth callbacks: Universal Links (iOS) / App Links (Android) — не URL Scheme
- URL Scheme (
myapp://callback) = НЕБЕЗОПАСНО (другие приложения могут перехватить)