Создание сессии и авторизация. Смена пароля- а пользователь авторизован.?
Я создаю в сессии значение Authorized=1, когда пользователь авторизуется.
Пользователь хранит пароль где-то у себя в блокнотике. Вдруг зашёл вор- увидел его пароль и авторизовался в системе. Наш пользователь об этом узнал и сменил пароль. Но так как в сессии вора Autorized=1 , то он продолжает безболезненно работать с аккаунтом.
Что здесь делать? как избежать такой ситуации?
Лазить каждый раз к базе и проверять кобинацию логин/пароль ж не хочется.
В контакте, например, если откроешь страницы в разн браузерах и из одного сменишь пароль, то следующая страница на втором браузере уже не откроется, т.е. там другой механизм.
Ответ на вопрос параллельных сессий и их уничтожения простой:
1. используйте базу данных: session_id, user_id, timestamp, ip
2. Апдейт на URI-роутере статуса пользователя в таблице.
Дальше - любые манипуляции.
