Actualmente estoy guardando LastLoginAt, LastActionAt, LastLogoutAt y LastLoginFromIPAddress. No estoy tan seguro sobre el valor de registrar / guardar los detalles de las desconexiones y las direcciones IP, ya que no estoy seguro de qué uso realmente tendrían. ¿Cuál es la "mejor" práctica aquí cuando se trata de guardar información sobre los inicios de sesión de los usuarios?
No proporcionó ninguna información específica sobre su aplicación, pero en general debería registrar mucho más de lo que está almacenando actualmente. Consulte esta hoja informativa de registro para obtener más detalles.
En general: si solo almacena información sobre las "últimas" acciones, tiene muy poco con qué trabajar si necesita usar cualquiera de esos datos en una fecha posterior.
Incluso para una aplicación web "simple", me ha resultado extremadamente útil almacenar un registro completo de acciones de inicio de sesión / cierre de sesión, con direcciones IP asociadas e incluso la cadena User-Agent (si es una aplicación web). Probablemente también debería registrar los intentos de inicio de sesión no válidos (user_id, time, ip_address) para hacer algún tipo de limitación de velocidad y / o detección de forzamiento de la contraseña.
Ejemplo sencillo: si un usuario se comunica con usted para informarle que su cuenta ha sido "pirateada" (la contraseña fue robada o adivinada), debe tener un registro completo de inicios de sesión para realizar un análisis significativo.
Lea otras preguntas en las etiquetas authentication logging