У меня есть внутренний сервер, реализующий аутентификацию на основе JWT для REST API. Хотя интерфейсное веб-приложение разработано на angular js, я планирую хранить JWT в файле cookie HTTPOnly (с защитой CSRF). К этим REST API также обращается собственное приложение для Android. Однако похоже, что родное приложение для Android не может устанавливать файлы cookie. Я бы не хотел хранить JWT в локальном хранилище браузера.
Есть ли общий и безопасный способ реализации аутентификации на основе JWT для REST API, который работает как для веб-приложения, так и для собственного мобильного приложения для Android?
Раньше я думал об использовании USER-AGENT, чтобы различать веб-приложение и мобильное приложение и реализовать два разных механизма аутентификации.