Beschreibe, wie du das tun willst, und ich beurteile dann, ob das ein realistisches Szenario ist.

ein login in ein backend mit temporärer session (automatisches login ist nicht möglich, die session läuft nach 15 minuten ab)

wie wird verhindert, dass jemand das cookie des rechners ausspäht und sich so einloggen kann?

nach möglichkeit eine lösung die ohne ssl, ein client-zertifikat oder eine vpn-verbindung auskommt

bzw anders herum: wie verhindert man, dass ihm falle eines ausgespähten cookies der angreifer dennoch nichts damit anfangen kann?