Quindi per anni ho utilizzato vari controlli utente in cima al token di sessione che sono stati rilasciati per massimizzare la sicurezza.
Ora sto cercando di sviluppare un sistema di sessioni su server separati e mi chiedo se questo è ancora pertinente.
Considerando che Oauth non usa nessuno di questi controlli extra ed è ampiamente utilizzato, può essere considerato attendibile un token di sessione su di esso? Google e Facebook sembrano pensarlo così.
I controlli extra come l'IP e le informazioni del browser dell'utente possono essere rubati con la stessa facilità dei cookie se esiste una linea di attacco.
Quindi sarà ok concentrarsi su token di sessione ben formati invece di aggiungere le misure extra.
Questa pagina elenca le misure extra tipiche utilizzate sicurezza della sessione PHP
Prima di iniziare, capisco come funziona Oauth, ma alla fine si traduce in un singolo token di sessione per la convalida una volta che la sessione esiste.