Задать вопрос
@mapxac
веб-разработка

Зачем уничтожать сессии после logout'а?

В примерах реализации авторизации обычно сессии после выхода удаляют полностью. Например в php: session_destroy(); вместо unset($_SESSION[name]);.

Почему бы просто не удалять информацию о пользователе из сессии? Тогда ее не нужно будет генерировать заново. К тому же в сессии может быть общая информация, не относящийся к пользователю. Может есть какие то требования к безопасности?

UPD:
Хорошая статя на эту тему - https://climbtheladder.com/10-session-management-b...
  • Вопрос задан
  • 338 просмотров
2 комментария
Подписаться 3 Простой 2 комментария
Пригласить эксперта
Ответы на вопрос 1
DMGarikk
@DMGarikk
Lead Software Developer
Ну в статье правильно написано, если вы будете менять в сессии пользователя, есть большая вероятность, да даже не вероятность, вы 100% на это наткнетесь, что другой пользователь получит доступ к данным и права другого пользователя. по этому проще сессию целиком уничтожить, чем заниматься постоянно валидацией прав и вычищением пользовательских данных после логаута
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Fullstack PHP Developer
Smapse Education
от 40 000 до 65 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать веб-приложение на React+TypeScript
01 мая 2024, в 14:27
8000 руб./за проект
Обойти hcaptcha на bc.game
01 мая 2024, в 13:20
30000 руб./за проект
Подключить SSL сертификат к веб версии 1с
01 мая 2024, в 12:54
2000 руб./в час
Ещё заказы