Atualmente estou trabalhando na autenticação de um site baseado em AJAX, e queria saber se alguém tinha alguma recomendação sobre as melhores práticas para esse tipo de coisa.

Minha abordagem original era um sistema baseado em cookies. Essencialmente, eu defino um cookie com um código de autenticação e cada acesso de dados altera o cookie. Além disso, sempre que havia uma autenticação com falha, todas as sessões desse usuário eram des-autenticadas, para manter os invasores fora. Para seqüestrar uma sessão, alguém teria que se deixar logado, e um hacker precisaria ter a última atualização de cookie enviada para falsificar uma sessão.

Infelizmente, devido à natureza do AJAX, ao fazer várias solicitações rapidamente, elas podem voltar fora de ordem, configurar o cookie errado e interromper a sessão, portanto, preciso reimplementar.

Minhas ideias foram:

Um método baseado em sessões decididamente menos segurousando SSL em todo o site (parece um exagero)Usando um iframe que é ssl autenticado para fazer transações seguras (eu apenas meio que presumo que isso é possível, com um pouco de jquery hacking)

A questão não é os dados sendo transferidos, a única preocupação é que alguém possa ter controle sobre uma conta que não é deles.

Um método baseado em sessões decididamente menos seguro