(Me sorprendió que esta pregunta no se hiciera en Stack por ahora, pero hice una búsqueda y no pude encontrar nada).

Estoy trabajando en una aplicación web basada en servicios y me pregunto cuál es la mejor manera de manejar los inicios de sesión de los usuarios. Hasta ahora tengo:

Cuando el usuario inicia sesión, suministran los datos crediticios. La contraseña está incluida en formato sal y hash local, que se transmite al servidor a través de POST (por lo tanto, los usuarios no podrán recuperar la contraseña original, es decir, para verificarla en los otros sitios)El inicio de sesión y la contraseña con hash se almacenan en una cookie con TTL de 15 minutos (se revocan cada una de las acciones web)Passwod está en el servidor con sal y hash nuevamente, y luego se compara con la contraseña almacenada en la base de datos (por lo tanto, las contraseñas tienen doble hash con diferentes sales, esto es para alguien que ingresará en la base de datos; aún no podrán recuperarse credenciales de inicio de sesión)El usuario puede hacer como máximo 3 intentos de inicio de sesión por 5 minutos desde una sola IPLos usuarios obtienen información sobre los últimos intentos de inicio de sesión exitosos y no exitosos junto con la fecha y la IP

Alguien había notado que es mejor almacenar una ID de sesión única en lugar de una contraseña con hash en la cookie y me pregunto por qué es tan importante: si alguien detecta paquetes, que no importa la ID de sesión o no, todavía pueden obtener paquetes de inicio de sesión con todos los datos. Necesitaba hacerse pasar por usuarios legítimos e iniciar sesión ellos mismos. Entonces, ¿hay otras ventajas del enfoque de identificador de sesión almacenado sobre el almacenamiento de inicio de sesión y contraseña con hash en la evaluación de cookies?