Así que durante años he estado usando varias comprobaciones de usuarios en la parte superior del token de sesión que se emiten para maximizar la seguridad.
Ahora estoy considerando el desarrollo de un sistema de sesión en servidores separados y me pregunto si esto sigue siendo relevante.
Teniendo en cuenta que Oauth no utiliza ninguna de estas comprobaciones adicionales y se usa ampliamente, ¿se puede considerar confiable un token de sesión en sí mismo? Google y Facebook parecen pensar que sí.
Las comprobaciones adicionales, como la IP y la información del navegador del usuario, pueden ser robadas tan fácilmente como una cookie si existe esa línea de ataque.
Así que estará bien concentrarse en tokens de sesión bien formados en lugar de agregar las medidas adicionales.
Esta página enumera las medidas adicionales típicas utilizadas seguridad de sesión de PHP
Antes de saltar, entiendo cómo funciona Oauth, pero al final resulta en un solo token de sesión para validación una vez que la sesión existe.