Estoy considerando almacenar un hash del ID de sesión de un usuario en nuestros registros de aplicaciones en cada solicitud. Esto permitiría que las sesiones de los usuarios se rastrearan fácilmente a las acciones en nuestros registros.
Entiendo que almacenar esto es un riesgo potencial de seguridad, que puedo estar dispuesto a considerar si el riesgo es muy bajo. ¿Por qué es un riesgo? Si alguien que tiene acceso a los registros puede descubrir cómo obtener un ID de sesión, entonces esencialmente puede robar esa sesión de usuarios e iniciar sesión sin credenciales.
Para ese fin, si fuera a hacer esto, ¿cuál es la mejor manera de hacerlo?
Aquí hay algunas cosas que me gustaría considerar:
- ¿Qué algoritmo de hash debería usar? Necesita ser rápido.
- ¿Qué debería hacer hash? ID de sesión + Salt?
- ¿Qué tan arriesgado es esto? ¿Debería simplemente no hacer esto?
EDITAR: Estoy considerando simplemente generar un GUID y agregarlo a una sesión de usuarios al crear la sesión. Entonces registrando esto en su lugar. De esa manera, siempre sería único para la vida de las sesiones. El problema con esto es que agregaría más datos de sesión y requeriría más memoria de sesión para cada usuario. Con este enfoque, no se necesitaría hash, y la sesión del usuario podría seguirse de forma única.