Actualmente estoy guardando la información de "inicio de sesión" de un usuario (¡no su contraseña sin formato, por supuesto!). Cada dispositivo / navegador obtiene su propia ID segura del servidor, todo bien y bien.
Sin embargo, ¿también debo verificar más información sobre las sesiones anteriores del usuario? Por ejemplo, haga un seguimiento de la ciudad o algo desde lo que un usuario inicia sesión (si no es un inicio de sesión de dispositivo móvil, guárdelo también en el servidor)
Sé que los agentes de usuario se pueden falsificar fácilmente, pero parece que si un atacante obtiene una retención de la ID específica del dispositivo del usuario, habrá algunos problemas graves.
¡Cualquier idea sería apreciada grandemente!