Добрый день знатокам iOS.

Разрабатываю REST-сервисы. Клиенты: бразуер, Android, iOS. С последней платформой возникла проблема. Вариант с возвратом идентификатора сессии через cookie (JSESSIONID) забраковали по соображениям безопасности. Предлагается возвращать в теле ответа. Обоснование iOS реагирует на Set-Cookie — и автоматически записывает переданное Cookie со всеми параметрами (имя, значение, дата истечения и пр.) в бинарный файл, чтобы можно было восстановить сессию в случае перезапуска приложения.

Этот файл может быть безо всякого Jailbreak получен с устройства (например, через iFunBox) — и прочитан любым HEX-редактором: данные хранятся в открытом виде.

Естественно, с точки зрения безопасности подобное решение недопустимо.Подскажите, пжл, все действительно так плохо или есть решение? Спасибо.

Забыл ссылку на один документ указать: https://www.owasp.org/images/5/5e/Mobile_Security_-_Android_and_iOS_-_OWASP_NY_-_Final.pdf , на который ссылаются заказчики. Получается, что куки хранятся в insecure store...