Своя авторизация: сессии, куки, хранение данных о пользователе. Как реализовать?

Question

[Илья]

Хотел попробовать реализовать свою систему аутентификации и авторизации(нет реализованого в моём случае). Возникло несколько вопросов.
1. Как создавать сессию? Просто 250 рэндомных символов? Или хеш от чего-то с чем-то?
2. Достаточно ли при авторизации создать сессию, записать в куку и при каждом обращении смотреть в хранилище, есть ли такая сессия(можно ещё IP и user-agent записывать)? Если есть, то приравнивать эту куку как пользователя, для которого и создавалась эта сессия(с ней будет храниться некоторая информация о пользователе)?

Гугл даёт только туториалы для пхп, но там какой-то встроенный сессионый диспетчер.

Answer 1

[Алексей Малинин]

1) По сути сессия с абстрактной точки зрения - какая-то запись где-то на сервере. Данные сессии могут храниться в БД или вообще в файле. Простейший случай идентификатора сессии: хэш таймстемпа, уникальных данных юзера(с точки зрения приложения), уникальных данных клиента(браузера). Очень хорошо, если есть время жизни при использовании Redis или Memcached(Можно, конечно руками сделать).
2) В принципе вполне корректно. Для безопасности, конечно, здорово, если ещё хранится не чистый идентификатор сессии, а каким-нибудь образом зашифрованный идентификатор(а расшифровать можно лишь у вас на сервере, так как только вы знаете ключ).