Как организовать сброс авторизации пользователя после смены пароля?
Проблема: Допустим, к аккаунту пользователя получил доступ злоумышленник. Он об этом узнал, сменил пароль, но это не помогает - злоумышленник остаётся авторизованными в аккаунте. Да, войти по старому паролю он не сможет в случае выхода или авторизации с другого браузера. Но проблема безопасности есть.
Вопрос: Полагаю, здесь основная проблема, что сессия пользователя хранится в файлах. И этот самый файл нужно ликвидировать при смене пароля. Но как это сделать?
Либо стоит сменить хранилище сессий? Но на какое, и как проводить ликвидацию сессии при смене пароля там?
Средний
