Utilizzo il middleware di sessione per creare app Web per anni: dal livello di gestione delle sessioni integrato di PHP al middleware di sessione di connessione del nodo. Tuttavia, non ho mai provato (o necessario) il rollover del proprio layer di gestione delle sessioni. Come si farebbe a riguardo? Che tipo di controlli sono necessari per fornire almeno un minimo di sicurezza contro il dirottamento della sessione HTTP?
Immagino di impostare un cookie con un token per tenere traccia della sessione, e quindi forse alcuni controlli per vedere che l'indirizzo IP di origine della sessione non cambia e che il software del browser client rimane coerente. Sperando di conoscere le migliori pratiche attuali ...