He estado trabajando en la construcción de un sitio web para mi escuela, pero con un presupuesto bajo, no querían comprar una licencia SSL. Luego me dirigí a Google OAuth porque al menos cifraría el nombre de usuario y la contraseña. Esto funciona bien para una sola sesión, pero me gustaría tener la opción de permanecer conectado a largo plazo.
¿Hay alguna forma segura de volver a iniciar sesión en el usuario después de haber cerrado y vuelto a abrir la ventana del navegador y la sesión ha caducado? He considerado los tokens de actualización, sin embargo, si almacena un token de actualización como una cookie, puede transferir ese token a otro navegador / computadora y obtener acceso a la cuenta sin siquiera iniciar sesión.
¿Hay algo que pueda hacer para que el sistema sea más seguro? O es inútil de todos modos porque siempre puedes transferir el ID de sesión de PHP a otro navegador y así ...