基于HMAC的Cookie的弱点

Question

我目前正在研究无状态服务器设计。 我学习了如何在HTTP cookie中存储基于HMAC的令牌。 这个想法是服务器具有一个秘密密钥，并且是唯一能够生成有效令牌的实体。

我也阅读了这个主题： How do stateless servers work?

有一个关于类似Paypal的网站的有趣示例。 如果攻击者只是复制令牌的内容，则他可以使用该帐户执行任意操作，直到令牌失效为止。

我看到了避免该问题的几种方法：

• 将IP地址或其哈希存储在令牌中：可能会让用户烦恼吗？
• 将用户代理或其哈希存储在令牌中：附加值低
• 要求对基于安全性的用例进行重新认证（例如：密码更改）
• 添加一次性密码层

还有其他弱点吗？ 如何防范这些弱点？