@Romo4ka_eto_ia
Просто человек

Как правильно ставить куки для авторизации?

Как правильно ставить куки аккаунту через php?
Я знаю как это делается через код, мне нужна логика. Например, как по мне, глупо будет просто создать в базе хеш и его пихать пользователю в куки, ведь при сливе базы тогда можно будет зайти на любой аккаунт.
Если каждую сессию менять куки, то это лучше, но проблема в целом та же.
Какой лучший способ ставить пользователю куки для максимальной безопасности?
  • Вопрос задан
  • 70 просмотров
Пригласить эксперта
Ответы на вопрос 2
Fockker
@Fockker Куратор тега PHP
Потомок старинного рода Ипатьевых-Колотитьевых
Как всегда, здесь подводит логика.
Если в базе есть что красть, то при "угоне базы" возможность авторизоваться будет самой меньшей из проблем.
Если в базе кроме логина и взять нечего, то и возможность авторизоваться не поможет. Ну угнал ты скажем аккаунт пользователя интернет-магазина - и какой с этого навар?

Не говоря уже о том, что "угнать базу" не так легко как кажется. Если это в принципе возможно, то значит проект в принципе ламерский, и в нём и других дыр выше крыши - то есть авторизоваться можно будет скажем через XSS или SQLi

Во всех нормальных системах никто такими нелепыми страхами не страдает и нормально хэши хранятся в базе, что дает возможность контроля авторизации, в том числе на выбранных устройствах.

Если же нет уверенности в собственных силах, что удастся защитить базу от слива, то можно использовать JWT токены.
Ответ написан
Комментировать
@zkrvndm
Боты, парсеры, расширения
По хешу вы легко можете определить дату выдачи кук, соответственно никаких проблем с разлогиневанием, допустим, каждые 24 часа, а там пусть авторизуются заново. Даже если кто-то угонит базу хешей, то через сутки они все равно все протухнут.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы