Я один из разработчиков PassPad, безопасного генератора паролей и системы хранения имен пользователей. Мы все еще работаем над этим, но у меня есть несколько вопросов о наилучшем способе реализации безопасной системы входа / выхода.
Прямо сейчас мы планируем сделать так, чтобы система входа в систему сохраняла файл cookie с именем пользователя и ключом сеанса, и это все, что служит аутентификацией. Сервер проверяет соответствие этих двух. При входе / выходе создается новый ключ.
Это веб-приложение, связанное с безопасностью, и хотя мы на самом деле не храним никакой информации, которая могла бы вызвать у пользователя тошноту, поскольку оно ориентировано на безопасность, оно заставляет нас по крайней мере казаться безопасным в способ, которым был бы доволен пользователь.
Есть ли лучший способ реализовать систему входа / выхода на PHP? Желательно, чтобы это не отнимало слишком много времени на кодирование или ресурсы сервера. Есть ли что-нибудь еще, что мне нужно реализовать, например, защита от перебора и т. Д.? Как мне это сделать?