Estoy trabajando en un proyecto donde los usuarios tienen cuentas e inician sesión con su nombre de usuario y contraseña si están correctos, el código devuelve un ID de sesión. La próxima vez que abran la aplicación o visiten el sitio, obtendrán la sesión almacenada, la enviarán a la base de datos y devolverán los datos del usuario.
Mis problemas son qué pasa si alguien encuentra una manera de ingresar identificadores de sesión falsos y luego visitar mi sitio y si siguen intentándolo, están obligados a obtener una sesión válida.
En los datos de usuario y las cookies de la página web de la aplicación, además de almacenar el token de la sesión, ¿también debo almacenar algo como su ID de usuario? Luego, cuando visitan el sitio, obtengo la identificación de la sesión y del usuario para comprobar si coinciden, lo que hace que sea más difícil para alguien escribir sesiones al azar, ya que tienen que encontrar una sesión y una identificación de usuario correcta (que tiene 120 caracteres). / p>