Sto facendo un'autenticazione basata su token ma ho riscontrato alcuni problemi di sicurezza. Nel sistema, un utente accederà come segue:
- Digitare nome utente e password per accedere in una pagina di accesso https
- Se l'accesso è riuscito, il server verrà impostato un "cookie di autenticazione". Altrimenti, vai di nuovo alla pagina di accesso
- Il "cookie di autenticazione" in ogni richiesta verrà utilizzato per identificare l'utente.
Penso che questo sia sicuro se la richiesta è sotto https perché il "cookie di autenticazione" non può essere rubato facilmente a causa della crittografia di SSL. Non voglio che tutte le pagine del mio sito Web siano accessibili solo da https. Tuttavia, se la pagina è accessibile sotto http, la connessione potrebbe essere soggetta a un attacco "man-in-the-middle". Se i dati nei cookie vengono copiati, allora è game over.
Che cosa è una buona pratica di autenticazione basata su token cookie sotto http? Potresti darmi l'implementazione dettagliata delle buone pratiche?