(Ich war überrascht, dass diese Frage im Moment nicht auf Stack gestellt wurde, aber ich habe ein bisschen gesucht und konnte nichts finden o.O.)

Ich arbeite an einer service-basierten Webanwendung und frage mich, wie ich mit Benutzeranmeldungen am besten umgehen kann. Bisher habe ich:

Wenn sich Benutzer anmelden, geben sie Gutschriften an. Das Passwort wird lokal gesalzen und gehasht, bevor es über POST an den Server übertragen wird (so dass Benutzer, die nach dem Schnüffeln suchen, nicht in der Lage sind, das ursprüngliche Passwort abzurufen, dh sie auf den anderen Websites zu überprüfen).Login und gehashtes Passwort werden in einem Cookie mit einer TTL von 15 Minuten gespeichert (wird bei jeder einzelnen Webaktion widerrufen)Passwod wird serverseitig gesalzen und erneut gehasht, und verglichen mit in der Datenbank gespeicherten Passwörtern (Passwörter werden also doppelt mit verschiedenen Salzen gehasht). Dies gilt für jemanden, der in die Datenbank einbricht - sie können sich immer noch nicht erholen Login Zugangsdaten)Der Benutzer kann höchstens 3 Anmeldeversuche pro 5 Minuten von einer einzelnen IP ausführenBenutzer erhalten Informationen zu den letzten erfolgreichen und fehlgeschlagenen Anmeldeversuchen sowie Datum und IP-Adresse

Jemand hatte bemerkt, dass es besser ist, eine eindeutige Sitzungs-ID statt eines gehackten Passworts in einem Cookie zu speichern, und ich frage mich, warum es so wichtig ist - wenn jemand Pakete schnüffelt, ist es egal, ob es sich um eine Sitzungs-ID handelt oder nicht - er kann immer noch ein Paket vom Login mit allen Daten erhalten muss sich als legitimer Benutzer ausgeben und sich selbst anmelden. Gibt es also weitere Vorteile des gespeicherten Sitzungs-ID-Ansatzes gegenüber dem Speichern von Login und Hash-Passwort in Cookie Appraoach?