Что лучше использовать для аутентификации: сессии или куки?

Question

[ZaxapKramer]

Что лучше использовать для аутентификации?
При использовании сессий данные сохраняются во временных файлах на сервере - отсюда лишняя нагрузка, а если пользователей будет over-много, сессии с относительно длительным сроком хранения начнут слетать (они и так будут слетать). Файлы с куками же хранятся на компьютере, в браузере, что как раз должно быть плюсом в плане производительности.
В Phalcon есть возможность использовать Memcache или Redis для хранения сессий, но какие здесь будут плюсы и/или минусы перед куками?
Да, много читал о том, что сессии безопаснее, т.к. куки хранятся в открытом виде, но при должной реализации кук прорех быть не должно. Сессии же привлекают отсутствием в браузере записей (в отличие от печенек) и отталкивают наличием этих же записей на сервере (это как плюс, так и минус, как и с cookies).

Помогите с выбором, пожалуйста.

Answer 1

[VZVZ]

Авторизацию я как-то не изучал, но что-то не вижу никакой логической разницы между сессиями и куками.
Во-первых, сессии разве бывают без куков?
Во-вторых, если куки (допустим, в куках хранится токен - для примера) хранятся ТОЛЬКО на клиенте, то как сервак будет проверять, верный ли ему токен сует клиент, и от какого вообще аккаунта (юзера) этот токен? Значит, опять же токен и на серваке храниться должен, либо в БД, либо в файлах, возможно с примением редиса...

Короче, по-моему, сессии - это лишь частный случай решения на базе куков.

UPD: да и сам вопрос "что лучше" изначально абсурдный. Вроде очевидно, что раз есть 2 инструмента для одной и той же задачи, значит, один лучше для одних случаев, другой - для других. И без уточнения задачи ответить "что лучше" нельзя.

Answer 2

[gugozoha]

Да, много читал о том, что сессии безопаснее, т.к. куки хранятся в открытом виде, но при должной реализации кук прорех быть не должно. Сессии же привлекают отсутствием в браузере записей (в отличие от печенек) и отталкивают наличием этих же записей на сервере (это как плюс, так и минус, как и с cookies).

Завязывайте с наркотиками. Как по-вашему id сессии передается при отключенных куках?

Comments

[VZVZ]

Может, он под сессией понимает идентификацию по IP?
В любом случае, в самом деле, меньше ему читать надо, а больше сниффить))

[ZaxapKramer]

VZVZ, gugozoha, пожалуй) С сессиями я никогда толком-то и не работал, и мои смутные представления оказались малость ошибочными. Понял, что оно работает с куками, но лучше ли использовать связку типа Redis+Sessions(+Cookies) или сохранять генерируемый хэш в саму базу (раньше делал так) или в тот же Redis, создавать такую же куки и сверять?