Конфиденциальная информация, такая как OAuth-токен, никогда не должна храниться в HTTP-файлах cookie, если они не зашифрованы.Шифрование должно соответствовать клиенту / сеансу, что означает, что для каждого сеанса клиента должен использоваться другой ключ шифрования.Если злоумышленник извлечет зашифрованный файл cookie и попытается использовать его для другого сеанса, расшифровка не сможет сделать этот файл недействительным.
В вашем сценарии пользователь B получает доступ к сеансу пользователя A.Существует не так много защиты.Это будет похоже на то, как вы входите в свой банк, оставляете свой стол для кофе, а кто-то другой садится и начинает переводить деньги, используя то же окно браузера, в которое вы вошли.
Безопасность только на уровне слабой ссылки,Каждый компонент должен обеспечивать строгую безопасность.Если один компонент может быть взломан, другие компоненты безопасности также могут выйти из строя.
Существует компромисс между очень строгой безопасностью и удобством.Люди склонны жертвовать безопасностью, если процессы слишком утомительны, слишком сложны или просто мешают.
Мой банк делает что-то интересное.Когда я вхожу в систему и продолжаю делать что-то (нажимая на ссылки, перемещая мышь и т. Д.), Я остаюсь аутентифицированным.Если я сделаю паузу на одну минуту, то в следующий раз, когда я нажму на ссылку, я должен повторно пройти аутентификацию.Интересная стратегия по обнаружению человека, который мог оставить свой стол без присмотра.