Почему в мобильных приложениях не происходит логаута?

Question

[John Bjornsen]

Собираюсь писать веб-сервис, у которого будет так же мобильное приложение. В связи с этим штудирую всевозможные варианты аутентификации пользователей и пытаюсь выбрать для себя наиболее подходящую и безопасную схему аутентификации юзеров. Я решил, что JWT токены мне не сильно нужны (хоть веб приложение и будет в виде SPA) и решил делать аутентификацию на старых добрых сессиях.
Но у меня возник вопрос по поводу аутентификации в мобильном приложении, а именно - почему в них не происходит автоматический логаут? Например любое приложение маркетплейсов, в которое я мог не заходить месяц или более все равно помнит меня и не предлагает залогиниться снова. За счет чего это обеспечивается? Если мы рассматриваем схему с JWT аксес и рефреш токенами, то это получается, что рефреш токен даже если истекает, то в фоне незаметно для юзера обновляется и с ним приходит и новый аксес токен? Или рефреш токен для мобилки вообще не имеет срока годности? Но в таком случае это не секьюрно... А если без токенов, а на сессиях, то получается там так же айдишник сессии, который существует бесконечно или тоже в фоне как то обновляется на новый, не требуя от юзера никаких действий?

Answer 1

[rPman]

Бесконечные сессии и на браузере возможны, это как разработчик приложения решил, так и сделал.

В браузере длительность сессии определяется сроком жизни cookies и логикой на сервере (например при проверки наличии сессии вычислять ее длительность из текущего времени и сохраненного в базе времени ее начала).

Грубо говоря, бесконечная сессия, это если ты ничего не сделал, что бы ее уничтожать.