A comunemente ripetuto consiglio sul Web non è quello di memorizzare i nomi utente nei cookie.
Tuttavia, non capisco davvero il problema. Quello che sto facendo nella mia applicazione web è: Genero un ID di sessione casuale da 16 byte (convertito in esadecimale a 32 bit) generato da un CSPRNG e memorizzo il nome utente e questo ID di sessione nei cookie.
Inutile dire che l'esistenza dell'ID sessione e la sua correlazione con l'utente vengono verificati da un database prima di eseguire qualsiasi azione nell'applicazione web. Lo sto facendo per accelerare un po 'l'accesso al database e per proteggerlo dal problema delle collisioni, in cui un utente potrebbe trovarsi autorizzato come utente diverso a causa di una collisione accidentale.
Qual è la debolezza in questo schema?