Как отловить сессию при выполнении php скрипта через ajax-запрос?

Question

[Алексей Скляров]

На сайте использую сессии для авторизации пользователей. В профиле пользователя, если он является администратором, есть кнопка, при нажатии на которую отправляется ajax-запрос к php-скрипту, который что-то исполняет. Дабы обезопасить все это (данное действие должен выполнять только администратор), я хочу передавать данные из сессии, в которой хранится ID пользователя, после чего его проверят. Передавать его через JS особо смысла не вижу, потому что можно переписать свой пользовательский скрипт с нужным ID, поэтому задача стоит грамотно отлавливать параметр сессии, чтобы на самом сервере ее проверять. Как это можно сделать?

Answer 1

[Александр Аксентьев]

ajax от не ajax ничем не отличается, в чем проблема работы с сессией как обычно? Хотя бы попробовали прежде чем вопрос задавать.

Токен придумывают когда через ajax пинают api в котором сессий нет в принципе, поэтому авторизация возможна только альтернативными путями в виде токенов.

Comments

[Алексей Скляров]

в том что передавая через AJAX запрос какой-то с параметром из сессии (в которой, преимущественно, содержится ID пользователя), человек может просто зайти в скрипт, посмотреть как описана эта функция, скопировать ее в консоль и запускать в консоли от имени админа (достаточно в качестве параметра передавать "1"). Для этой цели как раз токены, о которых выше сказали, подходят как нельзя кстати.

[Максим Федоров]

Алексей Скляров, не понимаю, зачем добавлять какой-то парматер в обработчик аякса, когда все данные уже есть в сесси и только остается их проверить в скрипте, на который выведет обработчик

[Артем]

Максим Федоров, вероятно, не в сессии, а в куках или localstorage)

[Максим Федоров]

Артем,
я вот не поленился и проверил...

1. Я залогинен как админ через HTTP авторизацию (иначе директория /admin/ не доступна)
2. Сделал обычный обработчик:

<script>
        $.ajax( {
            url: "/admin/test.php",
            success: function(data) {
                alert(data)
            }
        });
    </script>

3. код в файле, который запрашивается:

$maks =  'Maks';
$_SESSION['Name'] = $maks;
var_dump($_SESSION);

Результат: алерт всплыл с массивом, url не доступен без предварительной авторизации...

[Александр Аксентьев]

Алексей Скляров, сессия и передача её как-то куда-то через внешние средства вещи несовместимые.
Либо речь не про сессии, либо вы не знаете как работают сессии, и что они хранятся на сервере, а не в клиенте.

[Алексей Скляров]

Максим Федоров, про это я и пытаюсь узнать, есть ли такая возможность при пост запросе в самом файле уже ее проверять, потому что с какими-то другими пользовательскими параметрами (не сессиями) у меня не всегда получалось так делать.

[Максим Федоров]

Алексей Скляров, ниже написал вам

Answer 2

[Артем]

Сделайте уникальный токен на каждого юзера, и передавайте его клиенту вместо ID. По токену вы сможете определить пользователя, а значит, и права на выполнение действия. Подобрать токен сложнее во много порядков, чем ID. Проблема тем самым снята.
UPD. Вообще, если на сервере включены сессии, то на каждого юзера генерится PHPSESSID, который кладется в cookie. Этот ID - это название файла, который лежит в ФС сервера. В этом файле сериализовано все, что в ходе работы записал туда пых. Т.е. если у пользователя такой куки нет, или она не валидна, то и в сессии для него ничего нет. Соответственно, user_id хранится в сессии, и доступ к ней клиент получает через куку с идентификатором сессии.

Comments

[Алексей Скляров]

Действительно, где-то видел реализацию авторизации и регистрации с токенами, видимо для моей задачи они и задуманы.

Answer 3

[Максим Федоров]

поэтому задача стоит грамотно отлавливать параметр сессии, чтобы на самом сервере ее проверять. Как это можно сделать?

if($_SESSION['admin']) // ну или как вы там проверяете на админа
{
       var_dump($_SESSION['paramName']);
}

в данном случае код на аякс-запрос (и не аякс) отдаст значение парамтера 'paramName', который в сессиии только, если пользователь залогинен