Просмотр поста

.
Энштеин
Всем привет.
Нужен ваш совет и мнение по вопросам так называемой "безопасной авторизации".
Недавно получил заказ от клиента на доработку и правку проекта который так или иначе связан с большими суммами.(проект взаимодействует с биткоинами ~27)
Ситуация такова что клиент попросил придумать и создать метод авторизации который:
1 Прост в использовании(не доставляет пользователю хлопот)
2 Устойчив к всяким бруттам,переборам, угонам кук и сессий.
3 Анонимен( без ввода каких либо данных и использовании всяких там OpenID и прочей лабуды которая так или иначе может скомпрометировать)
4 Запрещает(непозволяет) использование одного аккаунта одновремменно с двух девайсов.(если зашли к примеру с компа, а потом с тела то комп уже не авторизован, и наоборот, то же самое и с браузеров).

Согласитесь, задача кажется легкой НО в то же время если соединить все требования то есть над чем задуматься.
Поломав пару часиков голову возникла вроде неплохая идея, которую собственно и изложу в посте ниже, а вы уже выскажетесь насчет идеи.