Эмм, немного недопонимаю, буду благодарен если кто-нибудь разъяснит.
Хэш авторизации, который хранится в куке, можно считать токеном?
Я при авторизации юзера выдаю ему засоленный хэш из его логина+id, записываю в куку.
То, что кука априори хранится на стороне клиента, по всей своей логике, спасти ситуацию не может, т.к. вредоносу по барабану как эта авторизация у меня хранится, главное чтобы сам сайт меня опознал.
Это так?
То есть, единственное решение - гонять юзера по сайту с дополнительным $_GET['token']?
Что то в роде "http://site.com/section/21/tokenvalue" ?
Изменил: Влад (03.12.2014 / 12:57)