Sto lavorando a un progetto in cui gli utenti hanno account e accesso utilizzando il loro nome utente e password se sono corretti il codice restituisce un ID di sessione. La prossima volta che aprono l'app o visitano il sito, ottiene la sessione archiviata e la invia al database e restituisce i dati dell'utente.
I miei problemi sono che cosa succede se qualcuno trova un modo per entrare in un id di sessione fasulla e poi visita il mio sito e se continuano a provare sono obbligati a ottenere una sessione valida.
Nei dati utente e nei cookie della pagina web dell'app oltre alla memorizzazione del token di sessione dovrei anche memorizzare qualcosa come il loro ID utente? Poi, quando visitano il sito, ottengo sia la sessione che l'ID utente per verificare se corrispondono, rendendo più difficile per qualcuno digitare solo sessioni casuali poiché devono trovare una sessione e correggere l'id utente (che è lungo 120 caratteri). / p>