Attualmente sto salvando le informazioni di "accesso" dell'utente (non la loro password raw, ovviamente!). Ogni dispositivo / browser ottiene il proprio ID sicuro dal server, tutto bene.
Tuttavia, dovrei verificare anche maggiori informazioni sulle sessioni precedenti dell'utente? Ad esempio, tieni traccia della città o qualcosa di cui un utente accede (se non è un accesso al dispositivo mobile, salvalo anche sul server)
So che gli user-agent possono essere facilmente falsificati, ma sembra che se un utente malintenzionato capita di afferrare l'ID specifico del dispositivo dell'utente ci sarebbero alcuni problemi seri.
Qualsiasi intuizione sarebbe molto apprezzata!