Как правильно хранить данные о авторизации?

Question

[Алексей]

Всем привет! Пишу авторизацию, но не совсем понятно правильно ли я делаю, смысл такой:
Авторизация = проверяем логин и пароль в базе с введенными -> записываем случайный хеш в cookie и в базу -> записываю нужные данные юзера в сессию и дальше работаю с сессией.
Новый вход = проверяю хеш, записанный в cookie с хешем в базе, если совпал -> записываем в сессию нужные данные юзера и работаем дальше с сессиями

Поэтому два вопроса:
1. Правильный ли такой подход?
2. Как быть с если юзер хочет работать с одним аккаунтом на разных устройствах одновременно? Создавать таблицу с хешами и хранить в ней все хеши с разных устройств одного пользователя?

Answer 1

[Daemon23RUS]

1) Имея/перехватив куку посетителя я автоматом авторизован ?
2) Я бы записал в куку данные о пользователе (IP, Браузер, OS , итп.) зашифрованные ключем (хешем_пароля) К этому блоку прибавил бы ИД хеша_пароля пользователя, дату посещения/создания куки (время жизни) и зашифровал эти данные вместе с предыдущим криптопакетом ключем/паролем сервера. В базе я бы эту куку не хранил. Но получив такой криптопакет, сервер бы его дешифровал ,и в случае успеха получил время создания, и ИД хеша пользователя. Если кука не просрочена (имеется ввиду не на стороне клиента, а проверка со стороны сервера скармливаемых ему данных) то дешифровал бы 2й пакет. и в случае успеха мог бы использовать сохраненную там ранее информацию. Успех в дешифровке означал бы признак успешной авторизации, На основании которой бы и принимал решение открывать/создавать для этого пользователя сессионную переменную или отправлять на авторизацию по логину и паролю. Ну а далее выбор за вами, разрешить/запретить вход с разных IP/устройств/браузеров

Comments

[Алексей]

Спасибо за подробный ответ. Но разве перехват вашей куки (если не включать туда IP и браузер) не означает точно такую же авторизацию как в моем случае?

[Daemon23RUS]

Для этого и добавляем доп информацию в куку. Теперь для авторизации такой кукой нужно не только ее значение но и совпадение IP, браузера, разрядности и всего того что вы можете определить и заложить туда. (например добавление только IP значительно осложняет подложную авторизацию) Повторюсь, выбор за вами разрешать или нет авторизацию кукой с разных IP/браузеров итд.. но суть не в этом. Вы создаете и храните необходимые данные на устройстве пользователя, в зашифрованном виде. Это альтернатива хранению копии куки в базе данных. Все тоже самое можно проделывать храня значение куки в базе данных. А чтобы это работало придется вести в бд таблицу авторизаций посетителя и делать из нее выборку

[Daemon23RUS]

поправлю: Вести в бд таблицу авторизаций посетителя и делать из нее выборку нужно будет в обоих решениях.