Temos um aplicativo da web sem estado. Estamos usando autenticação http sobre SSL / TLS. Presumivelmente, os navegadores do usuário estão armazenando credenciais de autenticação (possivelmente mesmo depois que o navegador for desligado se eles configurarem seus navegadores dessa maneira.) Nós os validamos em todos os acessos.

Por motivos relacionados principalmente à usabilidade, gostaríamos de parar de usar a autenticação http. Existe uma maneira razoável de implementar o login do usuário e

Permaneça apátrida.Não exige que os usuários digitem novamente as credenciais em todos os acessos.Seja pelo menos tão seguro quanto a autenticação http sobre SSL / TLS.

Por exemplo, estamos dispostos a usar cookies e podemos armazenar o nome de usuário e a senha como um cookie. No entanto, isso parece menos seguro. Mas é isso? Se usarmos um cookie não persistente, ele será menos seguro do que qualquer outro método que um navegador use para armazenar credenciais durante a sessão ou mais?

Poderíamos armazenar o nome de usuário e um hash da senha, conforme sugerido aqui:O que devo guardar nos cookies para implementar "Lembrar de mim" durante o login do usuário mas isso é melhor?

Podemos armazenar um token aleatório como um cookie, mas precisamos manter uma tabela de consulta (sessão) no servidor e nos tornar com estado.

Poderíamos armazenar uma versão criptografada das credenciais como um cookie e depois descriptografar e validar a cada acesso. esteparece como se fosse um pouco mais seguro que a autenticação http e também não exija estado. No entanto, não tenho certeza se queremos a sobrecarga adicional de descriptografia. E é realmente mais seguro? Se alguém obtém uma cópia da string criptografada (ou com hash, como acima), isso não dá a eles o mesmo acesso como se tivessem a senha?

Agradecemos seus pensamentos, mas vamos começar com a suposição de que a autenticação http sobre SSL / TLS é segurao suficiente para nossos propósitos e queremos permanecer apátridas.

EDITAR

Depois de mais algumas pesquisas, acho que essa pergunta sobre o stackoverflow:Sessões do lado do cliente afirma o problema muito melhor e as respostas também são correspondentemente melhores. Obrigado a todos por sua contribuição.