Procedimiento de inicio de sesión seguro

-1

He implementado un procedimiento de inicio de sesión y sesión para una aplicación web y me pregunto si lo que he implementado es lo suficientemente seguro. La autenticación se basa en la contraseña de inicio de sesión en https. Si el inicio de sesión se realizó correctamente, el servidor devuelve un token generado aleatoriamente que el servidor almacena y envía con cualquier solicitud de publicación https que realice. El servidor verifica que el token recibido es el generado para ese ID de usuario. El token tiene un tiempo de espera. ¿Es este procedimiento lo suficientemente seguro? ¿Qué debilidades tiene?

ACTUALIZACIÓN el problema es que parece que las sesiones no son compatibles con las aplicaciones móviles (es decir, Android, iOS) y he tenido que desarrollar mi propio tipo de sesiones. Sin embargo, tengo un poco de miedo de que no sea lo suficientemente seguro.

    
pregunta lowcoupling 05.08.2014 - 15:31
fuente

1 respuesta

0

Su sistema de inicio de sesión parece ser lo suficientemente bueno como para proporcionar un control de autenticación básico, ya que está describiendo un sistema de autenticación HTTP estándar basado en cookies.

Pero de todos modos, la recomendación mejor es: siempre es mejor tratar de usar un estándar, ya que la principal preocupación de seguridad relacionada con los sistemas de autenticación / autorización personalizados suele ser la implementación. Debe tratar de evitar la implementación de sus propios métodos de autenticación cuando tenga una alternativa.

Por lo tanto, si está utilizando cualquier marco para desarrollar su aplicación, intente usar los métodos de autenticación que proporciona.

    
respondido por el BBerastegui 18.02.2016 - 08:17
fuente

Lea otras preguntas en las etiquetas