Что именно хранится в куках аутентификации?

Question

[Jorik_Wa]

Что именно хранится в куках аутентификации -- сам секретный токен аутентификации или некий не очень секретный токен, как бы "пред"-токен, по которому на сервере уже идёт сопоставление с реальным, секретным токеном?

Или эти 2 способа -- фактически одно и то же?

Я имею ввиду аутентификацию на основе сессий. Токен = секретный id, hash, строка - как угодно.

Answer 1

[Владимир Дубровин]

Куки используются для организации сеанса, а не для аутентификации как таковой, т.е. куки позволяют сопоставить запрос и сеанс, для которого уже пройдена аутентификация, поэтому токены, используемые в авторизации (например OAuth) в куках не хранятся.

Другой вопрос, как именно сопоставляются данные о сеансе и куки, тут может быть несколько подходов:
1. Данные о сеансе хранятся на стороне сервера, куки используется как ключ, по которому они достаются, например из базы.
2. Данные о сеансе хранятся в самой куки, зашифрованные ключом сервера, это позволяет избежать хранения данных на стороне сервера.

Comments

[Jorik_Wa]

ну а я что спросил?

[Владимир Дубровин]

Jorik_Wa, у вас формулировка вопроса некорректна, т.к. вы смешиваете аутентификацию, авторизацию и создание сеанса. Если ответ не устраивает - уточните вопрос.

[Jorik_Wa]

Владимир Дубровин, 1) где вы у меня увидели слово авторизация?

2) перечитайте вопрос, он про то, что хранится на клиенте и что на сервере, а не про термины.

[Владимир Дубровин]

Jorik_Wa, в том то и дело что не увидел слова "авторизация", а должен был бы, т.к. с помощью токенов обычно производится авторизация, а не аутентификация. Т.е. вы два раза использовали слово "аутентификация" не правильно - куки сеансовые, а не аутентификационные, а токен авторизации а не аутентификации.

P.S. Если конечно вы имеете не имеете ввиду аппаратные токены.

[Jorik_Wa]

Владимир Дубровин, прочитайте последнее предложение. не нужно лезть в дебри и углубляться.

[test2235]

Владимир Дубровин Тебя конкретно спросили, что именно хранится в куки, в ответе какая-то невразумительная ересь. Это как спросить адрес кинотеатра, а в ответ, кинотеатр-это очень увлекательное место, где продают вату, попкорн, даже фильмы показывают, а ещё там есть игровые автоматы. Ну а адрес-то можно кинотеатра? - ответ: он закрывается в 23 часа и вообще я люблю бананы. Форум, к сожалению, стал помойкой. Очень много троллей развелось.