Где хранить аутентифицированного пользователя?

Question

[gigisarri98]

Доброго времени суток. Есть самописный mvc, аутентифицированный пользователь раньше хранился в сессии (массив со всеми данными, в т.ч email и пароль (md5)), сейчас вынес в класс с той же идеей, только каждый раз, например, при отображении шапки сайта с логином юзера, создается новый объект этого класса с запросом к бд. Так как проект учебный и количество запросов соответствующее, это не критично, однако понимаю, что это далеко не лучшая реализация аутентификации + ко всему достаточно тяжело тестировать классы, которые обращаются к UserAuth, требующий id из сессии. Подскажите, пожалуйста, наиболее оптимальное решение данного вопроса, заранее спасибо!
P.S.По поводу кода:
Класс UserAuth:

<?php
namespace App\Models;

class UserAuth extends Model
{
    public $id, $data = [];

    public function __construct()
    {
        parent::__construct();

        if ($_SESSION['user_id']) {
            $this->id = $_SESSION['user_id'];
        } else if ($_COOKIE['remember_token']) {
            $this->id = $this->getUserIdByToken($_COOKIE['remember_token']);
            $_SESSION['user_id'] = $this->id;
        }

        $user = $this->getUserInfo();

        $this->data = 
            ['id' => $user['id'], 'login' => $user['login'],
            'password' => $user['password'], 'name' => $user['name'],
            'email' => $user['email'], 'surname' => $user['surname'],
            'city_id' => $user['city_id'], 'status_id' => $user['status_id'],
            'ban_status' => $user['ban_status'], 'registration_time' => $user['registration_time'],
            'updated_at' => $user['updated_at'], 'active' => $user['active'],
            'city_name' => $user['city'], 'avatar' => $user['avatar']];
    }

    /**
	 * Get left join query with user info (from 'users', 'names', 'surnames' and 'cities')
	 * @return array
	 */

    private function getUserInfo(): array
    {
        // Здесь код, который обращается к БД через ПДО и записывает в свойство data массив через fetch()
    }

    private function getUserIdByToken(string $token): string
    {
        // Здесь код, который обращается к БД через ПДО и записывает id пользователя, найденный через токен
    }
}

Пример использования такого объекта:

<header>
                <div class="main__title"><a href="/">Главная страница</a></div>
                <?php if ($_SESSION['userauth']): ?>
                <div class="user"><a href="/user"><?= (new UserAuth)->data['login'] ?></a></div>
                <div class="logout"><a href="/logout">Выйти</a></div>
                <div class="addlot__link"><a href="/addlot">Добавить лот</a></div>
                <?php else: ?>
                <div class="login"><a href="/login">Войти</a></div>
                <div class="registration"><a href="/registration">Зарегистрироваться</a></div>
                <?php endif; ?>
            </header>

Comments

[Ипатьев]

а что не так с количеством запросов?

[Ипатьев]

Чтобы ночью встать и пойти пописать, надо сделать шагов 20-30.
Вам не приходила гениальная идея заняться оптимизацией этой цифры? И напрудить прямо в постель, например?

[P747]

Так а проблема в чем, почему сессии не подходят?

[Ипатьев]

Если говорить по коду, то за обращение к реквесту в модели надо бить по рукам

[gigisarri98]

Роман Юрьевич Ипатьев,

а что не так с количеством запросов?

Мне почему-то всегда казалось, что чем больше запросов в БД. тем выше нагрузка на нее: так почему бы не оптимизировать это, если возможно?

Чтобы ночью встать и пойти пописать, надо сделать шагов 20-30.
Вам не приходила гениальная иидея заняться оптимизацией этой цифры? И напрудить прямо в постель, например?

Если на тостере порекомендуют сделать так, то обязательно займусь. Спасибо за личный опыт, но, если не затруднит, можете поделиться иными историями из жизни, например, по сабжу? Заранее спасибо!
P747,
Я читал, что хранить в сессии такую личную инфу, как пароль/имейл - такое себе.

[P747]

gigisarri98, Тоесть проблема в том что вы храните в сессии пароль и эмейл или дело в скорости?

[gigisarri98]

P747, и в том, и в том.
Я бы с радостью все хранил в сессии, но сто раз слышал, что хранить приватные данные в ней - это не есть гуд. Вследствие этого, я сделал аналогичную систему, но в рамках класса, и меня не устраивает, что буквально на каждой странице каждый пользователь отправляет лишний запрос в бд, да еще и новый объект создает. Если предположить, что это не пет-проект, а проект, который должен быть использован людьми, которые хотят делать хайлоад какой-нибудь, не важно, важно то, что мне кажется, не стоит лишний раз дёргать базу, когда можно этого избежать.
P.S. Я был бы рад ошибиться, считая, что хранить такое в сессии/новом объекте, трогающим базу - плохо, но пока что я не нашел информации об этом.
Роман Юрьевич Ипатьев,

Если говорить по коду, то за обращение к реквесту в модели надо бить по рукам

Учту, спасибо

[Ипатьев]

а я читал, что хранить пароль в md5() - это профнепригодность и вон из профессии
а, главное, непонятно, НАФИГА в сессии вообще нужен пароль

[P747]

gigisarri98, Вы можете хранить данные пользователя с сессиями в Redis и вроде как можно еще обычные файлы сессий php хранить через memcache

[gigisarri98]

Роман Юрьевич Ипатьев,

а я читал, что хранить пароль в md5() - это профнепригодность и вон из профессии

Замечательно, я такого не читал и, если Вас не затруднит привести аргументы или ссылки на статьи, описывающие Ваш тезис, я был бы Вам очень признателен, потому что я только лишь учусь, о чём прямым текстом написал в вопросе, но я ни сколь не виню Вас в том, что Вы проглядели это:) Вероятно, на Ваших глазах негативно сказывается Ваша начитанность или, может быть, Ваше желание поскорее помочь новичку! В любом случае, спасибо за конструктивизм! Я бы обязательно последовал Вашему совету уйти из профессии, да только вот пока что не состою в ней, зато вместо этого могу порекомендовать Вам, разумеется исключительно в благодарность, почаще выходить на улицу и вести активный образ жизни, потому что Ваша профессия располагает к гиподинамии, которая помимо физических последствий, очень негативно влияет на настроение и нервную систему. Ну и будет преступлением не упомянуть, что наличие желчи в глазах (допускаю, что подобное может быть причиной того, что Вы не обратили внимание на одну конкретную фразу) может быть признаком очень серьезных заболеваний. Очень надеюсь, что мои опасения не подтвердяться.
P747, спасибо, не подумал об этом. Я правильно понимаю, что это считается безопасным?

[Ипатьев]

Прекрасное сочинение, 4+ по литературе.
Теперь попробуйте ответить на второй вопрос
зачем вам понадобился пароль пользователя в сессии

[gigisarri98]

Роман Юрьевич Ипатьев, На самом деле, сам задаюсь этим же вопросом. По сути, он используется только при смене пароля для сравнения нового со старым.
По сути, у меня есть представление, что сессия/тот объект должны содержать исчерпывающую информацию о юзере, но, повторюсь, я еще не знаю. насколько это хорошая идея, вот и пытаюсь выяснить.

[Ипатьев]

Это похвально.
Но для начала надо научиться решать реальные проблемы, а не воображаемые.
У вас в коде миллион реальных проблем, начиная с дырявого хеширования. А вас заботят проблемы несуществующего хайлоад сайта, несуществующая БД которого умирает под несуществующим трафиком от копеечного запроса.

[P747]

gigisarri98, В сессии не нужно хранить личные данные пользователя такие как пароль, достаточно только ИД клиента, ну и обязательно токен доступа. Если уже сильно часто приходится получать данные клиента, можно их закэшировать через Redis

[Ипатьев]

И кстати вот таких джунов, которые для собеседования готовят только ООП, но при этом не знают базовых вещей, и футболят в первую очередь
Потому что лучше знать на джунский уровень, но хорошо, чем пускать пыль в глаза "знанием" ооп, но не знать того как хэшируются пароли.

[gigisarri98]

Роман Юрьевич Ипатьев, прошу прощения, но я обманул и себя, и Вас. Я использую это "password_hash($password, PASSWORD_DEFAULT)", так что все не так плохо, мне кажется.

[Ипатьев]

в сухом остатке:
запросов бояться не надо
решать воображаемые проблемы не надо
полные данные юзера в сессии хранить не надо
где хранить данные сессии - в принципе, всё равно. В файле, мемкеше или в редисе - это всё не имеет отношения к вопросу, меняется по потребности.
в модели никаких обращений к реквесту быть не должною с реквестом работает только контроллер.

Answer 1

[ThunderCat]

Весь тот кусок что у вас в конструкторе перенести в контроллер, можно в базовый, можно в миддлвэйр. Работа с глобальными переменными в моделях означает что вы что-то делаете не так.
Естественно, его надо переписать, текущего пользователя внести либо в режистри (что проще, но идеологически не верно), либо передать параметром во вью, дабы на фронте можно было как-то оперировать состоянием/данными пользователя, ну и в контроллере вынести в $this.

По сути в объекте пользователя нет необходимости хранить все данные, можно вообще хранить только логин, айди, что-то часто используемое и статус залогинености, и все это кинуть либо в массив вообще, либо в стдкласс.

Хранить в сессии норм, хотя некоторые топят за постоянную актуализацию из бд, оба подхода имеют как плюсы так и минусы, расписывать долго, факт - оба подхода имеют право на жизнь, а есть варианты специфики проекта, когда подходит только какой-то один.