Задать вопрос
Deonisius
@Deonisius
Родился в 11110110111 году, 11000 января.

Нужно ли сверять токен в БД?

Приветствую, господа! У меня есть пара маленьких вопросов в плане безопасности, а точнее её усилении. После успешной аутентификации, пользователю в сессию записывается токен, который подставляется во все формы и сверяется на сервере. Есть ли смысл записывать токен в БД и при каждом запросе сверять его еще и там? Вот сижу и думаю: если на одну чашу весов положить такую дополнительную меру, а на другую - мучит БД при каждом запросе, то сто́ит ли игра свеч? Да и вообще, имеет ли смысл использовать токен после успешной авторизации, если работа ведется по SSL? Может быть достаточно просто проверять: есть сессия или нет?
  • Вопрос задан
  • 363 просмотра
Подписаться 1 Оценить 2 комментария
Решения вопроса 1
sayber
@sayber Куратор тега PHP
Да, я программирую на PHP и еще асинхронно!
Смысла нет хранения в БД.
Использование токена еще ни кому не вредило =)

Вполне себе хватает что то вроде этого:
$csrf = $this->get('form.csrf_provider');

$token = $request->get('csrf_token');
// $data - какие либо шифрованные  данные, к примеру email
if ($csrf->isCsrfTokenValid($data,  $token)) {
    //...
}
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы