Может ли мое веб-приложение внедрить имя пользователя и остаться без состояния?

У нас есть веб-приложение без состояния. Мы используем http-аутентификацию по SSL / TLS. Браузеры пользователя предположительно хранят учетные данные для аутентификации (возможно, даже после закрытия браузера, если они настраивают свои браузеры таким образом.) Мы проверяем их при каждом доступе.

По причинам, главным образом связанным с удобством использования, мы бы хотели прекратить использовать http-аутентификацию. Есть ли разумный способ реализовать логин и

Оставаться без гражданства.Не требуйте от пользователей повторного ввода учетных данных при каждом доступе.Будьте по крайней мере так же безопасны, как HTTP-аутентификация через SSL / TLS.

Например, мы готовы использовать файлы cookie и можем сохранить имя пользователя и пароль в виде файла cookie. Однако это кажется менее безопасным. Но так ли это? Если мы используем непостоянный файл cookie, является ли он менее безопасным, чем любой другой метод, используемый браузером для хранения учетных данных на время сеанса или дольше?

Мы могли бы сохранить имя пользователя и хэш пароля, как предложено здесь:Что я должен хранить в куки, чтобы реализовать «Запомнить меня» при входе пользователя но так ли это лучше?

Мы могли бы сохранить случайный токен в виде cookie, но тогда мы должны сохранить таблицу поиска (сеанс) на сервере и стать сохраненными.

Мы могли бы сохранить зашифрованную версию учетных данных в виде файла cookie, а затем расшифровывать и проверять каждый доступ. этокажется вроде немного более безопасен, чем http-аутентификация, и также не требует состояния. Однако я не уверен, что нам нужны дополнительные издержки при расшифровке. И действительно ли это более безопасно? Если кто-то получает копию зашифрованной (или хешированной, как указано выше) строки, разве это не дает им такой же доступ, как если бы у них был пароль?

Буду признателен за ваши мысли, но давайте начнем с предположения, что аутентификация http через SSL / TLS безопаснадовольно для наших целей, и мы хотим остаться без гражданства.

РЕДАКТИРОВАТЬ

После еще одного исследования, я думаю, что этот вопрос stackoverflow:Клиентские сессии излагает проблему намного лучше, и ответы, соответственно, также лучше. Спасибо всем за ваш вклад.

Ответы на вопрос(3)

Ваш ответ на вопрос