Я извиняюсь раньше времени, потому что я не могу отличить объяснения вещей и блок-схемы. Это не конкретная проблема с кодом, а общий вопрос о безопасности сеанса.Является ли это безопасной системой аутентификации для приложения, управляемого ajax?
Я пытаюсь устранить сразу несколько потенциальных проблем. Я думаю, что это берет на себя:
- CSRF
- Фиксация сессии
- Предсказание Session кражи
- Cookie (через уязвимости браузера)
- Session sidejacking
Я понимаю, что сессия может по-прежнему должны быть перегружены, если оба IP-адреса атакующего и пользовательский агент совпадают с аутентифицированными пользователями. Я предполагаю, что для этого пуленепробиваемого вам понадобится SSL?
Буду признателен за любые критические замечания, если вы можете разобрать, что я пытаюсь сказать, с помощью clusterfuck ниже. Это более или менее то, что я делаю:
EDIT - еще один вопрос, который у меня был: можно ли предположить, что у пользователя не будет IP-адрес, который достаточно часто изменяется, чтобы это стало проблемой?
