Según Directriz de revisión de la App Store 5.1.1(v) :
Una aplicación no puede almacenar credenciales o tokens a las redes sociales del dispositivo y sólo podrá utilizar dichas credenciales o tokens para conectarse directamente a la red social desde la propia aplicación mientras la aplicación está en uso.
¿Será una violación de la directriz anterior (o cualquier otra), si enviamos un token de acceso desde el móvil al backend sólo con fines de verificación?
Queremos que los usuarios puedan vincular sus cuentas sociales para iniciar sesión en la aplicación más rápidamente.
La identidad del usuario sólo puede ser validada en el lado del servidor dado un token de acceso válido, de lo contrario, cualquiera puede enviar cualquier correo electrónico o ID de cuenta al azar y suplantar a cualquier otro usuario.
La mayoría de las redes sociales limitan el token de acceso a la dirección IP donde fue emitido.
¿Es suficiente esta justificación? ¿O es una zona gris? (sería ridículo)
Si no es suficiente, sólo podemos declarar, pero obviamente no podemos garantizar que no vayamos a utilice los tokens de acceso fuera del dispositivo, porque enviar a nuestro backend.
