Авторизация

[fixxxer]

а как мне это поможет по сайту авторизованным ходить?

Ну, точно так же, как пишут cordova-аппы: передавать все в заголовках.

Хотя, конечно, это слишком замороченно. Можно, например, упростить задачу и защищать только XHR и POST-запросы.

Ну а еще можно слать фингерпринт js-ом каждые N секунд и разлогинивать все сессии этого пользователя при несовпадении или если прошло больше 2N секунд.

 

[MiksIr]

Просто давайте пользователю информацию об использовании аккаунта, что бы он заметил активность, когда его не было.
Если уж очень хочется что-то сделать, в голову вот сейчас пришло, на правах концепции (хотя сам бы не стал с этим морочиться):
Токен периодически обновляется - принимаем старый валидный, меняем что-то в базе, выдаем новый валидный. Это не поможет от угона и использования кем-то, но считаем, что у нас не такой критичный сервис (раз мы не делаем таймаут сессии с новым запросом пароля). Когда заходит оригинальный владелец - видим старый токен и спрашиваем у пользователя пароль, ну и говорим ему, что кто-то его поюзал... ну или не говорим, ну и инвалидируем все токены.

 

[little indian]

про обновление я думал
когда в какой-то момент тихонько перезаписывается токен с новым таймстампом, например, внутри = меняется сам хеш
например каждый день или несколько раз в день
это при каждом чихе пользователя надо искать какой-то триггер (либо рандомом 1:1000, либо считать его заходы просто)
а если зашёл со старым, то все токены удаляются...

показывать активность не очень эффективно, имхо
во1, так можно показать только последнюю авторизацию
и 99% буратин она ничего не скажет
во2, жалко тратить на неё экран ))

ну в общем вкупе с фингерпринтом проблема вполне решаема
всем спасибо