Ho implementato un cookie di sessione stateless, qualcosa sulla falsariga di questo articolo:
Demistificazione dell'autenticazione Web (cookie di sessione stateless)
Il cookie contiene un tempo di scadenza all'interno del valore hash e anche il cookie viene impostato con un timeout di sessione nel browser. Quando l'utente si disconnette, il cookie viene eliminato. Tuttavia, qualcuno ha notato che un utente malintenzionato può rubare il cookie e essenzialmente utilizzarlo entro la scadenza specificata nel cookie anche se l'utente ha effettuato il logout. Esiste una soluzione a questo problema (oltre ad abbandonare i cookie di sessione stateless e utilizzare la gestione standard delle sessioni server / framework)?