Безопасен ли такой метод реализации пользователей?
Добрый вечер!
Потихонечку изучаю PHP и все, что с ним связано.
Реализовал следующую авторизацию:
1. Подключил авторизацию через Steam
2. При авторизации, если пользователя нет в БД, он туда добавляется. Если он есть, то запускается сессия: $_SESSION['username'] = id пользователя.
3. При нажатии на "Выход" срабатывает unset($_SESSION['username']);
Безопасна ли такая реализация?
По сути сам вход (ввод логина и пароля) осуществляется на самом сайте steam, а сайт лишь получает успех или нет. Можно как-то задать сессию другого пользователя?
Авторизация пользователей через Steam API де-факто никакого вреда принести не может. Сам функционал API не позволяет делать что-то серьезное с аккаунтом, кроме получения информации о пользователе, которая в целом и так общедоступна. Касаясь того может ли другой пользователь подключаться к чужой сессии, то конечно может, если будет знать cookie. Но откуда он их узнает?
