Per evitare che l'utente possa accedere ogni volta che scade la sua sessione, voglio implementare un sistema di autenticazione basato su token.
Il mio schema funziona così:
- Invia l'accesso utente (invia nome + password) tramite
$.ajax()
a unhttps
URI - Crea un token tramite
$token = bin2hex(openssl_random_pseudo_bytes(16));
- Salva
$token
,userid
e data in un database (accessibile solo da SSL) - Fa eco a
$token
euserid
al client - Salva
$token
euserid
in html localStorage sul client - Quando si esegue un
$.ajax()
dal client, invia sempreuserid
e$token
come POST - Server, abbina il
$token
fornito e verifica se è ancora valido (data non scaduta). - Se è tutto a posto, continua a consegnare il materiale richiesto
Puoi analizzare il mio schema?
Molte persone sconsigliano l'implementazione di processi di autenticazione personalizzati, in quanto sono spesso vulnerabili agli attacchi. Questo mi fa sospettare che il mio approccio potrebbe avere anche dei difetti. Puoi rivelare questi difetti a me?