Я создаю веб-приложение для финансовых услуг, и моя компания хочет включить в него аутентификацию через Facebook. Поскольку мы находимся в мире финансов, безопасность имеет первостепенное значение. Я использую facebook PHP SDK для интеграции, но меня очень беспокоит перехват сеанса. Когда я учился в колледже, я на сеансе выбивал дерьмо из всех вокруг меня (что было очень весело), но я пытаюсь найти способ предотвратить это с помощью своего приложения.
Моя компания хочет, чтобы процесс аутентификации был как можно более упрощенным, а это означает, что что-то вроде двухфакторной аутентификации нежелательно. Но запрос пользователя на другую информацию ПОСЛЕ входа в facebook кажется наиболее безопасным способом сделать это. Мне интересно, может ли кто-нибудь из вас, умных людей, придумать какой-нибудь другой способ защитить это, сохраняя при этом весь процесс простым и быстрым?