Actualmente estoy trabajando en la autenticación de un sitio basado en AJAX, y me preguntaba si alguien tenía alguna recomendación sobre las mejores prácticas para este tipo de cosas.

Mi enfoque original era un sistema basado en cookies. Esencialmente, establezco una cookie con un código de autenticación, y cada acceso a los datos cambió la cookie. Además, siempre que hubo una autenticación fallida, todas las sesiones de ese usuario fueron des-autenticadas, para mantener a raya a los piratas informáticos. Para secuestrar una sesión, alguien tendría que dejar la sesión iniciada y un pirata informático necesitaría que se le enviara la última actualización de la cookie para falsificar una sesión.

Desafortunadamente, debido a la naturaleza de AJAX, al realizar varias solicitudes rápidamente, es posible que vuelvan a estar fuera de servicio, configuren la cookie de forma incorrecta y rompan la sesión, por lo que debo volver a implementarla.

Mis ideas fueron:

Un método basado en sesión decididamente menos seguroUso de SSL en todo el sitio (parece una exageración)Usando un iFrame que es autenticado por SSL para hacer transacciones seguras (solo asumo que esto es posible, con un poco de piratería informática)

El problema no son los datos que se transfieren, la única preocupación es que alguien pueda obtener el control de una cuenta que no es de ellos.

Un método basado en sesión decididamente menos seguro