Сессии+куки

1. Удаленный (08.02.2017 / 13:11)
Знаю как сделать авторизацию через сессии а вот как скомбинировать с куками для безопасности? В гугле чтото ненашел ответа. Если можно пример. С меня +

2. /7o/loTeH4I1k (08.02.2017 / 18:26)
Эээм.. а как по твоему куки повышают безопасность?
В данном случае в куки просто записывается id сессии (вообще в зависимости от настроек, но по-дефолту автоматически).
Но если в браузере отключены куки, то id сессии будет передаваться в URL (по-дефолту вроде параметр PHPSESSION)

3. Удаленный (08.02.2017 / 19:03)
У меня ничего нет в адресной строке... Тоеесть можно и не париться?

4. /7o/loTeH4I1k (08.02.2017 / 21:03)
Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)

5. Удаленный (09.02.2017 / 05:40)
Ну с меня +

6. ramzes (11.02.2017 / 17:35)

Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)

токен это тот же пароль, с другим на званием.
в куках не хранят пароль, только хэш. что тоже является токеном, можно организовать примерно такой пасс+ип+браузер+номер месяца. захэшировать и получить такой же токен, только процесс идентификации усложнится и все.
имея нормально организованный хэш,сбрутить пароль практически не реально, а просто зайти не позволит вменяемая система защиты.
все эти псевдо-новые подходы, все те же старые, только теперь конфетки заварачивают не в один фантик, а в три, вот и все

URL: https://visavi.net/topics/43411