Ich arbeite derzeit an der Authentifizierung einer AJAX-basierten Site und habe mich gefragt, ob jemand Empfehlungen zu Best Practices für diese Art von Dingen hatte.

Mein ursprünglicher Ansatz war ein Cookie-basiertes System. Im Wesentlichen habe ich ein Cookie mit einem Authentifizierungscode gesetzt, und bei jedem Datenzugriff wurde das Cookie geändert. Außerdem wurden bei einer fehlgeschlagenen Authentifizierung alle Sitzungen dieses Benutzers de-authentifiziert, um Hijacker fernzuhalten. Um eine Sitzung zu entführen, müsste sich jemand eingeloggt lassen, und ein Hacker müsste das allerletzte Cookie-Update senden, um eine Sitzung zu fälschen.

Leider kommt es aufgrund der Natur von AJAX bei schnellen Mehrfachanfragen möglicherweise zu Problemen, wenn der Cookie falsch gesetzt wird und die Sitzung unterbrochen wird. Daher muss ich sie erneut implementieren.

Meine Ideen waren:

Eine ausgesprochen weniger sichere sitzungsbasierte MethodeVerwendung von SSL über die gesamte Site (scheint übertrieben zu sein)Verwenden eines iFrames, der SSL-authentifiziert ist, um sichere Transaktionen durchzuführen (ich gehe nur davon aus, dass dies mit ein wenig JQuery-Hacking möglich ist)

Das Problem ist nicht, dass die Daten übertragen werden. Die einzige Sorge ist, dass jemand die Kontrolle über ein Konto erhält, das nicht seinem Konto gehört.

Eine ausgesprochen weniger sichere sitzungsbasierte Methode