Ho lavorato alla creazione di un sito web per la mia scuola, ma con un budget basso, non volevano acquistare una licenza SSL. Quindi mi sono rivolto a Google OAuth in quanto avrebbe crittografato almeno il nome utente e la password. Funziona bene per una singola sessione, ma mi piacerebbe avere l'opzione di rimanere loggato a lungo termine.
C'è un modo sicuro di accedere nuovamente all'utente dopo aver chiuso e riaperto la finestra del browser e la sessione è scaduta? Ho preso in considerazione i token di aggiornamento, tuttavia se si memorizza un token di aggiornamento come cookie, è possibile trasferire tale token in un altro browser / computer e accedere all'account senza effettuare il login.
C'è qualcosa che posso fare per rendere il sistema più sicuro? Oppure è inutile perché puoi sempre trasferire l'ID di sessione PHP su un altro browser e ottenere in questo modo ...