Предыстория
Чуть больше года назад, был задан вопрос по поведению кэша на сайте и единственный ответ затронул момент хранения пароля в куки. Всё это время, тема хэширования, аутентификации, авторизации не давала мне покоя.
Ссылка на вопрос:
Некорректное поведение кэша сайта?
К чему было решено прийти
Хэширование пароля через password_hash и проверка через password_verify
Проблематика
Сейчас после авторизации, пользователь аутентифицируется по связке
Логину + паролю + ключу аутентификации из куки
К слову, вся эта солянка перехэширована в MD5
Тем самым было принято решение перейти на систему сессий
Вопрос
Стоит ли использовать ID пользователя из базы данных при указании сессии или есть какие-то определённые стандарты на этот счёт?
$_SESSION['user_id'] = $user['id'];
В приоритете использовать длительные сессии, которые не слетают после 24-х минут или при закрытии браузера пользователем
На что ориентируюсь
Крупные компании по типу: ВК, Яндекса, Таймвеба и т.п.
Через консоль просмотрел у них сессию и заметил что они значительно длиннее стандартной PHPSESSID
Статьи с которыми ознакомился:
https://habr.com/ru/articles/665602/
https://habr.com/ru/articles/728072/
https://habr.com/ru/companies/avanpost/articles/480576/
