Как правильно организовать проверку токена?

Question

[Александр Евгеньевич]

Здравствуйте.
Как правильно организовать проверку токенов ? Токены будут использоваться при регистрации, смене email адреса пользователя, восстановлении пароля, удалении профиля, изменении статуса профиля и может еще какой функционал добавится дальше.
Мыслей несколько по этому поводу:
- Хранение в БД в таблице пользователя, в столбце "token" , когда он установлен, то есть значение, когда не установлен, то NULL
- Хранение в БД в отдельной таблице токенов (user_id, token, value, created_at) , где будут храниться все токены, у каждого токена ограничен срок действия (по крону в определенное время проходимся и удаляем устаревшие). Столбец value ввел для сохранения, например, email, при его смене.
! Проблема хранения в БД - определение к какому именно действию принадлежит токен. Т.е. что мне мешает подставить в ссылке на смену email токен от восстановления пароля. (или может это я так думаю) .
- Верификация токена без записи в БД, т.е. по принципу генерируем:

$token = md5('confirm_registration_' . $solt . $username); //$solt - произвольная hash-строка
/*делаем ссылку вида: http://mysite.dev?token={$token}&username={$username} . 
При переходе по ней проверяем таким же образом*/

Опять же, повторюсь, для меня проблема состоит в организации определения для какого действия тот или иной токен, если их хранить в БД.

Answer 1

[xmoonlight]

пфффффффффф!
формат: token only!
в базе в кортеже - все параметры этого токена.
да и токены опасны: время жизни 12 часов.

Comments

[Александр Евгеньевич]

Т.е. хранить в БД в отдельной таблице, с дополнительными столбцами, например "action" где будет храниться область применения токена, например этот для регистрации, другой для восстановления пароля ?

[xmoonlight]

ну да.

Answer 2

[Alex]

В чем проблема добавить еще одно поле с типом (для какого действия)?
На каждое действие лучше отдельный токен.
Поле value вообще ни о чем: для одних действий избыточно, для других недостаточно. Возможно есть смысл иметь общую таблицу без value + отдельные таблицы токенов под конкретные задачи, где нужны доп. поля

Comments

[Александр Евгеньевич]

По сути поле Value необходимо только для подтверждения смены email адреса. Заводить отдельную сущность, проводить связи, тоже не хочется.

[Александр Евгеньевич]

Хотя новый email можно передавать в ссылке подтверждения, которая будет в письме приходить на почту, просто делать еще раз проверку на правильность email-a и его уникальность на сайте, когда пользователь будет переходить по ссылке в письме.

[Alex]

Без понятия, как у вас проходит процедура смены.
Я вижу алгоритм: /?token=xxx, если токен валидный, показ формы смены, POST, смена. В этом сценарии не надо хранить ничего

[Александр Евгеньевич]

shoomyst: смена email инициирует отправку письма для подтверждения.