Безопасна ли такая авторизация php?

Question

[Vadim Stepanenko]

Всем привет!
Подключаю авторизацию vk для самописного сайта на php.
Суть следующая: генерируется ссылка авторизации вк, пользователь переходит по ней, если все ок, то возвращает данные о пользователе сайту.
Вторым шагом является создание сессии на основе id пользователя вконтакте, что то типо:
$_SESSION['user'] = $userInfo['uid'];
Безопасен ли такой способ сессии?
Камнями не кидайтесь, если что, только недавно начал разбираться

Comments

[sim3x]

Покажите реализацию

Answer 1

[Exploding]

Да.
А вот как потом $_SESSION['user'] вы будете использовать - может и не "да"...

Comments

[Vadim Stepanenko]

А в чем заключается "не да"? Как их лучше передавать?

[Exploding]

Mikhail Artunin, Да не)) В этом плане все нормально, не обращайте внимания.
Главное чтобы сами потом не перепутали идентификаторы с внутренними.
Назовите $_SESSION['user']['vk_id'] и храните информацию структурировано, это очень полезным будет!

[Vadim Stepanenko]

Exploding, спасибо) Если не затруднит, можете помочь с этим вопросом? По той же авторизации

[Exploding]

Mikhail Artunin, уже написал и в нем)

Answer 2

[Евгений Вольф]

Безопасен ли такой способ сессии?

Сами сессии в PHP довольно безопасны. Авторизация через ВК (механизм OAuth2) - тоже. Или Вы о чем-то ещё спрашиваете?

P.S. Обычно, никто не хранит данные пользователя в сессии, т.к. это будет порядком подзасирать сервер, особенно если данных много. Храните их в БД или например каком-нибудь там Redis'е или Memcached'е или в другом кэширующем хранилище (как вариант, если БД чем-то не устраивает).