在Web应用程序中识别用户的最佳方法

Question

我想在其中与其他用户进行交互的地方执行Web应用程序，但我不希望用户使用登录名和密码（如BrowserQuest）注册。

然后，我想用一个随机数存储在本地存储的变量。但我认为，这不是因为安全，如果有人分析我的代码，并在其中看到变量名称存储，然后在URL写：

javascript:localStorage["variableWhereNameIsStored"]="nameOfSomeoneElse";void(0); 

他可以偷他的帐户。

然后我想到了每个iPhone/iPod/iPad的唯一ID。但在JavaScript中，我们无法访问它：Get iphone ID in web app。还有IP，但它不可靠。还有饼干，但在这里，用户也可以使用注射。

在我的webapp中识别用户的最佳方式是什么？

Answer 1

一个解决方案是给每个人一个唯一的会话ID（可能是cookie形式），只有他们知道。这会将它们连接到后端的用户标识。

另一种解决方案是将cookie中的用户标识设置为签名cookie。这又取决于你的后端，但你可以在这里看到一个python解决方案：http://webpython.codepoint.net/mod_python_publisher_cookies_signed。