Зачем уничтожать сессии после logout'а?

Question

[mapxac]

В примерах реализации авторизации обычно сессии после выхода удаляют полностью. Например в php: session_destroy(); вместо unset($_SESSION[name]);.

Почему бы просто не удалять информацию о пользователе из сессии? Тогда ее не нужно будет генерировать заново. К тому же в сессии может быть общая информация, не относящийся к пользователю. Может есть какие то требования к безопасности?

UPD:
Хорошая статя на эту тему - https://climbtheladder.com/10-session-management-b...

Comments

[psiklop]

Из доков:
Замечание: Нет необходимости вызывать session_destroy() в обычном коде. Очищайте массив $_SESSION вместо удаления данных сессии.

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента.

Answer 1

[Игорь]

Ну в статье правильно написано, если вы будете менять в сессии пользователя, есть большая вероятность, да даже не вероятность, вы 100% на это наткнетесь, что другой пользователь получит доступ к данным и права другого пользователя. по этому проще сессию целиком уничтожить, чем заниматься постоянно валидацией прав и вычищением пользовательских данных после логаута