Я не хочу, чтобы пользователям приходилось каждый раз вводить свои пароли, и я не хочу хранить пароли локально. Когда пользователь впервые отправляет мне свое имя пользователя и пароль, я планирую отправить обратно некоторую хешированную версию своего пароля (хэш пароля + соль), которая будет помещена в локальное хранилище для использования для авторизации последующих вызовов наших веб-сервисов.
Я знаю, что если мое локальное хранилище будет скомпрометировано (например, украденный телефон), вор сможет украсть токен и совершать вызовы веб-службы от имени пользователя, но, по крайней мере, у него не будет пароля пользователя.
Есть ли другие уязвимости, которые я упускаю из виду? Есть ли причина поместить его в файл cookie вместо локального хранилища?