Задать вопрос
Deonisius
@Deonisius
Родился в 11110110111 году, 11000 января.
php

Нужно ли сверять токен в БД?

Приветствую, господа! У меня есть пара маленьких вопросов в плане безопасности, а точнее её усилении. После успешной аутентификации, пользователю в сессию записывается токен, который подставляется во все формы и сверяется на сервере. Есть ли смысл записывать токен в БД и при каждом запросе сверять его еще и там? Вот сижу и думаю: если на одну чашу весов положить такую дополнительную меру, а на другую - мучит БД при каждом запросе, то сто́ит ли игра свеч? Да и вообще, имеет ли смысл использовать токен после успешной авторизации, если работа ведется по SSL? Может быть достаточно просто проверять: есть сессия или нет?
  • Вопрос задан
  • 363 просмотра
2 комментария
Подписаться 1 Оценить 2 комментария
Решения вопроса 1
sayber
@sayber Куратор тега PHP
Да, я программирую на PHP и еще асинхронно!
Смысла нет хранения в БД.
Использование токена еще ни кому не вредило =)

Вполне себе хватает что то вроде этого:
$csrf = $this->get('form.csrf_provider');

$token = $request->get('csrf_token');
// $data - какие либо шифрованные  данные, к примеру email
if ($csrf->isCsrfTokenValid($data,  $token)) {
    //...
}
Ответ написан
3 комментария
3 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Backend разработчик PHP Laravel
Бюро Цифровых Технологий Санкт-Петербург
от 120 000 до 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать веб-ресурс для анкетирования пользователей на Python/C#
06 мая 2024, в 22:50
40000 руб./за проект
Скопировать верстку лендинга с доработками
06 мая 2024, в 22:07
3000 руб./за проект
Скопировать дизайн со скриншотов с небольшими правками в figma
06 мая 2024, в 21:43
1500 руб./за проект
Ещё заказы