Лучший способ определить пользователей в webapp

Question

Я хочу сделать webapp, где вы взаимодействуете с другими пользователями, но я не хочу, чтобы пользователь регистрировался с логином и паролем (например, BrowserQuest).

Тогда я думал, используя переменную со случайным числом, хранящимся в локальном хранилище. Но я думаю, что это не безопасно, потому что если кто-то анализировать мой код, и посмотреть, в какой переменной хранится имя, а затем записать в URL:

javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0); 

он может украсть его счет.

Тогда я подумал об уникальном идентификаторе каждого iPhone/iPod/iPad. Но в javascript мы не можем получить к нему доступ: Get iphone ID in web app. Существует также IP, но он не является надежным. И есть файлы cookie, но здесь также пользователь может использовать инъекции.

Каков наилучший способ идентификации пользователей в моем веб-приложении?

Answer 1

Одним из решений было бы дать каждому человеку уникальный идентификатор сеанса (возможно, в форме cookie), который только они знают. Это соединило бы их с идентификатором пользователя в бэкэнд.

Другим решением было бы установить идентификатор пользователя в cookie как подписанный файл cookie. Опять же, это зависит от вашего бэкэнда, но вы можете увидеть решение python здесь: http://webpython.codepoint.net/mod_python_publisher_cookies_signed.