Задать вопрос
Deonisius
@Deonisius
Родился в 11110110111 году, 11000 января.
php

Нужно ли сверять токен в БД?

Приветствую, господа! У меня есть пара маленьких вопросов в плане безопасности, а точнее её усилении. После успешной аутентификации, пользователю в сессию записывается токен, который подставляется во все формы и сверяется на сервере. Есть ли смысл записывать токен в БД и при каждом запросе сверять его еще и там? Вот сижу и думаю: если на одну чашу весов положить такую дополнительную меру, а на другую - мучит БД при каждом запросе, то сто́ит ли игра свеч? Да и вообще, имеет ли смысл использовать токен после успешной авторизации, если работа ведется по SSL? Может быть достаточно просто проверять: есть сессия или нет?
  • Вопрос задан
  • 363 просмотра
2 комментария
Подписаться 1 Оценить 2 комментария
Решения вопроса 1
sayber
@sayber Куратор тега PHP
Да, я программирую на PHP и еще асинхронно!
Смысла нет хранения в БД.
Использование токена еще ни кому не вредило =)

Вполне себе хватает что то вроде этого:
$csrf = $this->get('form.csrf_provider');

$token = $request->get('csrf_token');
// $data - какие либо шифрованные  данные, к примеру email
if ($csrf->isCsrfTokenValid($data,  $token)) {
    //...
}
Ответ написан
3 комментария
3 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Разработчик PHP
Автомакон
от 206 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать запросный бот парсер поиска с функцией автоматической записи
24 нояб. 2024, в 15:21
120000 руб./за проект
Дизайн интерфейса веб-приложения
24 нояб. 2024, в 14:37
3000 руб./в час
Обновить дизайн карты метро Москвы
24 нояб. 2024, в 13:04
500 руб./в час
Ещё заказы