Wir haben eine Webanwendung, die keinen Status hat. Wir verwenden HTTP-Authentifizierung über SSL / TLS. Die Browser des Benutzers speichern vermutlich Authentifizierungsdaten (möglicherweise auch nach dem Herunterfahren des Browsers, wenn sie ihre Browser so konfigurieren). Wir überprüfen sie bei jedem Zugriff.

Aus Gründen, die hauptsächlich mit Benutzerfreundlichkeit zu tun haben, möchten wir die Verwendung der http-Authentifizierung einstellen. Gibt es eine vernünftige Möglichkeit, die Benutzeranmeldung und @ zu implementiere

Reststatuslos bleiben.Benutzer müssen nicht bei jedem Zugriff ihre Anmeldeinformationen erneut eingeben.Mindestens so sicher wie die HTTP-Authentifizierung über SSL / TLS.

Zum Beispiel sind wir bereit, Cookies zu verwenden und könnten den Benutzernamen und das Passwort als Cookie speichern. Dies scheint jedoch weniger sicher zu sein. Aber ist es? Wenn wir ein nicht dauerhaftes Cookie verwenden, ist es dann weniger sicher als die Methode, mit der ein Browser Anmeldeinformationen für die Dauer der Sitzung speichert, oder länger?

Wir könnten den Benutzernamen und einen Hash des Passworts wie hier vorgeschlagen speichern:Was sollte ich in Cookies speichern, um "Remember me" während der Benutzeranmeldung zu implementieren? aber ist das besser?

Wir könnten ein zufälliges Token als Cookie speichern, aber dann müssen wir eine Nachschlagetabelle (Sitzung) auf dem Server speichern und den Status erhalten.

Wir könnten eine verschlüsselte Version der Anmeldeinformationen als Cookie speichern und sie dann bei jedem Zugriff entschlüsseln und validieren. Dies scheint wie es ist etwas sicherer als http-Authentifizierung und erfordert auch keinen Status. Ich bin mir jedoch nicht sicher, ob wir den zusätzlichen Aufwand für die Entschlüsselung benötigen. Und ist es wirklich sicherer? Wenn jemand eine Kopie der verschlüsselten (oder wie oben beschriebenen) Zeichenfolge erhält, hat er dann nicht denselben Zugriff wie mit dem Kennwort?

Ich würde mich über Ihre Gedanken freuen, aber gehen wir zunächst davon aus, dass die http-Authentifizierung über SSL / TLS sicher istgenu für unsere Zwecke und wir wollen staatenlos bleiben.

BEARBEITE

Nach mehr Recherche denke ich, dass diese Stapelüberlauf-Frage:Client Side Sessions gibt das Problem viel besser an, und die Antworten sind auch entsprechend besser. Vielen Dank an alle für Ihre Eingabe.