Tengo una aplicación web sin SSL (sé que no está bien, trato de tomarla como un desafío). El inicio de sesión es de dos pasos. Primero, el administrador sshs en el servidor y ejecuta un programa complementario de mantenimiento que proporciona un enlace aleatorio (seguro) de una sola vez. El enlace de una sola vez conduce a un formulario de inicio de sesión. El enlace de una sola vez es válido para solo 1 formulario de inicio de sesión y 1 formulario de envío.
¿Esto realmente me da más seguridad? ¿Podría hacerlo mejor?