セキュリティ対策の一環として、ユーザーにデバイスを「登録」してもらいたいモバイル Web サイトを持っているので、ユーザーがサイトにアクセスできるデバイスの数を制限できます。私の考えでは、「新しい」デバイスの場合、2 要素認証プロセスを実行し、サーバーから送信された GUID を、GUID を保持する httpOnly Cookie (SSL 経由) に保存します。ユーザーがサイトにアクセスしてユーザー名とパスワードを使用してログインすると、サーバーはその Cookie をデータベース内のユーザー レコードと比較し、一致する場合はログインさせます。
だから私の質問は: これは httpOnly クッキーの有効/安全な使用ですか? 「デバイス登録」について説明している方法は意味がありますか?
ありがとう!
これにより、カジュアルなユーザーがサービスで複数のデバイスを使用できなくなりますが、Cookie を別のデバイスにコピーできるため、簡単に回避できます。HttpOnlyフラグは、JavaScript などのクライアント側スクリプトによる Cookie へのアクセスを制限するだけであり、ユーザー自身が Cookie にアクセスすることを妨げたり、Cookie jar での暗号化を強制したりすることはありません。
もう少しエンジニアリングを加えると、ソリューションを機能させることができます: 各デバイスのローリング トークン。つまり、ログインごとに各クライアントに新しいデバイス ID が付与され、このメカニズムによって古いデバイス ID も無効になります。これにより、元の Cookie のコピーを持つ 2 番目のデバイスは、別の登録とデバイス制限に対するカウントなしではサービスを使用できなくなります。
また、必要なセキュリティのレベルによっては、GUID 以外のものを使用した方がよい場合もあります。