scusate se mi intrometto ,
ma con i cookie non leghi il login direttamente al browser?..
e se leghi il login direttamente al browser, non c’è un serio pericolo che un’latra persona usi il browser con il cookie e possa accedere ai dati ?..(sopratutto se non gli dai una scadenza…)
in questo momento però mi vengono in mente solo tre soluzioni se ti possono essere di qualche aiuto te le elenco:
1)Dai una scadenza al cookie che ti serva solo per il “login invisibile” e una volta effettuato l’accesso dai fruibilità ai contenuti senza richiedere il controllo del coockie, ma questo implica un’ altro serio problema di sicurezza analogo al precedente (nel caso che l’utente lasci aperto il browser sulla pagina dei contenuti “protetti” qualunque utente ne avrebbe un accesso diretto)
2)Leghi il login alla persona fisica oppure ad un suo oggetto personale:
potresti implementare realmente un lettore di smartcard oppure usare un semplice software di riconoscimento facciale installando delle webcam per ogni computer poi con un programmino in esegui il riconoscimento dell’utente a cui dai un id univoco e interrghi il DB sul server, una volta effettuato il riconoscimento fai la richiesta http alla pagina voluta con il browser…
Oppure lo leghi ad un software che gli fai installare sul cellulare…ma questo implica che il cellulare dell’utente debba essere solo usato dall’utente e sopratutto che alla fine il login sarebbe la scocciatura minore (prendi cellulare–> attiva il programma–>aspetta autenticazione–>accedi alle risorse )
3)la terza soluzione forse la più banale ma che io ci farei un pensierino è usare openid…che ormai è uno standard nell’autenticazione…quindi non corri neanche il richio che debbano farsi l’account…chi è che non ha un accont google, yahoo o facebook (per citare solo i più famosi) al giorno d’oggi?..