Attualmente sto lavorando a un sito web del progetto per animali domestici e voglio implementare la funzione "ricordami" per i login e volevo sapere se la mia procedura è sicura. Il processo di autenticazione è fondamentalmente simile a questo:
- Se un utente desidera essere ricordato e accede con successo insieme al suo cookie di sessione, ottiene un cookie di remember-me duraturo.
- Il cookie contiene alcuni dati casuali (un UUID) e l'id dell'utente.
- L'UUID e un hash salato dell'ID dell'utente vengono memorizzati in un database.
- Quando l'utente deve essere nuovamente autenticato da tale cookie, l'ID utente dal cookie viene confrontato con l'hash dal database corrispondente a tali dati casuali.
- Se corrispondono, l'utente ha effettuato l'accesso, la coppia id / hash corrente viene cancellata dal database e l'utente ne riceve una nuova per dare ai ladri di cookie una finestra più stretta. agire
- Le coppie id / hash più vecchie di 3 settimane scadono per prevenire ulteriormente il furto di cookie.
Vorrei una revisione del mio metodo. È sicuro? In tal caso, potrebbe essere implementato in qualsiasi altro, forse più semplice, modo?