Сессии+куки

Печать RSS
339

Автор
Дух
0
Знаю как сделать авторизацию через сессии а вот как скомбинировать с куками для безопасности? В гугле чтото ненашел ответа. Если можно пример. С меня +

Пацак
0
Эээм.. а как по твоему куки повышают безопасность?
В данном случае в куки просто записывается id сессии (вообще в зависимости от настроек, но по-дефолту автоматически).
Но если в браузере отключены куки, то id сессии будет передаваться в URL (по-дефолту вроде параметр PHPSESSION)
Автор
Дух
0
У меня ничего нет в адресной строке... Тоеесть можно и не париться?

Пацак
0
Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)
Автор
Дух
0
Ну с меня +

2000 лет д.н.э.
0

Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)
anonymouse (08.02.17 / 21:03)
токен это тот же пароль, с другим на званием.
в куках не хранят пароль, только хэш. что тоже является токеном, можно организовать примерно такой пасс+ип+браузер+номер месяца. захэшировать и получить такой же токен, только процесс идентификации усложнится и все.
имея нормально организованный хэш,сбрутить пароль практически не реально, а просто зайти не позволит вменяемая система защиты.
все эти псевдо-новые подходы, все те же старые, только теперь конфетки заварачивают не в один фантик, а в три, вот и все
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск