Как правильно ставить куки для авторизации?

Question

[Сергей Васильев]

Как правильно ставить куки аккаунту через php?
Я знаю как это делается через код, мне нужна логика. Например, как по мне, глупо будет просто создать в базе хеш и его пихать пользователю в куки, ведь при сливе базы тогда можно будет зайти на любой аккаунт.
Если каждую сессию менять куки, то это лучше, но проблема в целом та же.
Какой лучший способ ставить пользователю куки для максимальной безопасности?

Comments

[Ипатьев]

Для начала надо дать вопросу осмысленный заголовок. Который отражает суть проблемы, а не является совершенно другим вопросом

Answer 1

[Ипатьев]

Как всегда, здесь подводит логика.
Если в базе есть что красть, то при "угоне базы" возможность авторизоваться будет самой меньшей из проблем.
Если в базе кроме логина и взять нечего, то и возможность авторизоваться не поможет. Ну угнал ты скажем аккаунт пользователя интернет-магазина - и какой с этого навар?

Не говоря уже о том, что "угнать базу" не так легко как кажется. Если это в принципе возможно, то значит проект в принципе ламерский, и в нём и других дыр выше крыши - то есть авторизоваться можно будет скажем через XSS или SQLi

Во всех нормальных системах никто такими нелепыми страхами не страдает и нормально хэши хранятся в базе, что дает возможность контроля авторизации, в том числе на выбранных устройствах.

Если же нет уверенности в собственных силах, что удастся защитить базу от слива, то можно использовать JWT токены.

Answer 2

[Надим]

По хешу вы легко можете определить дату выдачи кук, соответственно никаких проблем с разлогиневанием, допустим, каждые 24 часа, а там пусть авторизуются заново. Даже если кто-то угонит базу хешей, то через сутки они все равно все протухнут.

Comments

[Сергей Васильев]

Да, но всё таки хотелось бы ставить их больше чем на 1 день

[Надим]

Сергей Васильев, когда куки начинают истекать, обновляете их, но только если клиент онлайн на момент конца сессии.