Metodo sicuro per autenticazione + servizi

[the_driver]

Ciao a tutti, siccome dovrei incominciare a sviluppare una nuova app web, vorrei migliorare il sistema di autenticazione, aumentando se possibile il grado di sicurezza.

Inizialmente vorrei poter sostituire l'autenticazione classica di sessione con qualcosa di + evoluto. cosa mi consigliate?

cookie + sessione?

cookie cifrato con sessione ?

Inoltre mi chiedevo, devo pensare la mia nuova app con i servizi (in .net esistono i wcf ) ? Devo praticamente fare una app che avrà anche funzioni di ricerca interna.

[portapipe]

Beh, ogni volta che creo una sessione di login la codifico e ne creo sempre tre, una con il nickname dell'utente, uno con una variabile insospettabile che contiene l'ok per la validità della sessione e un'altra con l'ip dell'utente, il tutto criptato con più passaggi di un algoritmo che creo ogni volta in modo differente, così se non ho l'ok oppure cambia l'ip o ancora peggio il nome utente non c'è, allora la sessione non è più valida. Rischi che ti si scolleghi spesso, soprattutto ora che ci sono un sacco di dispositivi mobili che cambiano ip ogni volta che perdono la connessione, però è bello difficile da bypassare.