Проверка на авторизацию юзера. Нужно ли при каждом телодвижении сверять с данными в бд?

Question

[Антон Середний]

Нужно делать систему авторизации, довольно простую, но все-таки хотелось и безопасность сохранить.

Так вот начитался статей по этому поводу, в том числе и на тостере и теперь в голове каша. Попробую задать основные вопросы:

1) Что хранить в сессиях для пользователя? ID и хеш сессии?
2) На каждой странице делать запрос к бд и проверять данные? У меня маленький проект, максиум 5 человек одновременно онлайн, но все же странно делать запрос каждый раз при посещении любой страницы.
3) Может есть готовые системы авторизации, которые легко прикрутить к своему скрипту?

Answer 1

[IceJOKER]

1. В сессиях можете все что угодно хранить, они не видны пользователям, но все же лучше хеш хранить.
2. Можете проверять есть ли сессия авторизации, если есть, то можете отбросить проверку. Но все же логику лучше сделать таким, чтоб на каждой странице у базы данных запрашивались основные данные пользователя, таким образом у вас будут и данные пользователя и заодно проверка на то, вошел пользователь или нет. Самое главное - все зависит от ситуации, от проекта. К примеру, что если вы удалите данные о пользователе из базы данных, а пользователь был раннее авторизован и в сессиях есть информация , что он авторизован. что тогда? В базе нет - в сессиях есть, до сброса сессий или закрытия браузера пользователь сможет нарушить логику в базе(добавить данные от "удаленного" пользователя и т.д. ). Надеюсь поняли ..
3. А вы искать пробовали? Ни разу не пользовался и не встречал , но на 99% уверен, что таких скриптов туча

Answer 2

[alexdora]

Я хотел бы задать встречный вопрос: При проекте в 5 человек, какая разница есть запрос к базе или нет? По крайней мере нагрузку из-за одного запроса вы не почувствуете. Думаете об избавлении тогда, когда реально 1 запрос будет эквивалентен +1 секунде работы приложения.

Comments

[Антон Середний]

да, в данном случае реально можно и делать лишние запросы. А так, я для общего развития узнать хотел)

[alexdora]

Антон Середний: Не засоряйте себе голову) Когда припрет, вы найдете решение ))

[Илья]

Антон Середний: да, на каждое обращение всегда следует сверять. Просто со временем не в бд надо лезть, а в какой-нибудь кэш.

[Антон Середний]

FireGM: Спасибо, идея с кешем очень даже ничего!)

[Антон Середний]

alexdora: Спасибо!

[alexdora]

Антон Середний: Просто вам для общего развития пример: Делали авторизацию на закрытый проект и были критичны подключения к базе (не запросы). В cookie кодировали информацию о ip, времени жизни сессии и прочую служебку. При заходе без подключения к базе, раскодировали и проверяли данные. Не проходят, на страницу авторизации так же без базы. Я привожу этот пример т.к у каждого свои задачи и для развития вряд ли стоит углубляться, если это пока не приперло.

[Антон Середний]

alexdora: да, спасибо за инфу, не будем зря воздух сотрясать)