Создание сессии и авторизация. Смена пароля- а пользователь авторизован.?

Я создаю в сессии значение Authorized=1, когда пользователь авторизуется.
Пользователь хранит пароль где-то у себя в блокнотике. Вдруг зашёл вор- увидел его пароль и авторизовался в системе. Наш пользователь об этом узнал и сменил пароль. Но так как в сессии вора Autorized=1 , то он продолжает безболезненно работать с аккаунтом.
Что здесь делать? как избежать такой ситуации?
Лазить каждый раз к базе и проверять кобинацию логин/пароль ж не хочется.
В контакте, например, если откроешь страницы в разн браузерах и из одного сменишь пароль, то следующая страница на втором браузере уже не откроется, т.е. там другой механизм.
  • Вопрос задан
  • 239 просмотров
Пригласить эксперта
Ответы на вопрос 2
Привязывай сессии к IP адресам.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Ответ на вопрос параллельных сессий и их уничтожения простой:
1. используйте базу данных: session_id, user_id, timestamp, ip
2. Апдейт на URI-роутере статуса пользователя в таблице.
Дальше - любые манипуляции.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы