Как уникально идентифицировать пользователя на сайте?

Question

[Denis]

Здравствуйте, подскажите пожалуйста как можно уникально идентифицировать пользователя на сайте. У меня есть многопользовательский сайт. Соответственно есть регистрация и авторизация. При авторизации я создаю куки у клиента. Что мне нужно в них записать что бы идентифицировать пользователя, логично что ID или логин, но в таком случае может возникнуть ситуация когда пользователь сменить содержимое куки к примеру на ID другого пользователя и таким образом попадает на его страницу без пароля. Что мне нужно записать в куки?

Answer 1

[Евгений Вольф]

но в таком случае может возникнуть ситуация когда пользователь сменить содержимое куки к примеру на ID другого пользователя и таким образом попадает на его страницу без пароля. Что мне нужно записать в куки?

Самый простой вариант - сгенерировать какой-нибудь уникальный ID а потом зашифровать его sha512 например. Получите длинный уникальный ключ который довольно сложно подделать. Уникальный ID - должен быть в прямом смысле уникальным, а не "1, 2, 3". Например, крипто безопасные случайные числа на PHP, полученное число можно разбавить другими уникальными данными, например временем и ещё чем-то (например, как подсказывает коллега выше - добавить туда IP адрес, среди прочего). Полученные в результате хеш - будет достаточно уникальным. Привязываем этот хеш к пользователю и... готово!

P.S. "Подменщиков" куки, т.е. клиентов, которые пытаются сменить значение в куке на несуществующее - нужно отслеживать и банить по IP, как минимум.

Comments

[Stalker_RED]

В чем этот велосипед выигрывает у обычных сессий или jwt?

[Одиночка Айс]

Банить по IP, круто. А ничего что множество пользователей сидят с одного и тоже адреса?

[Евгений Вольф]

Stalker_RED, этот велосипед - отвечает на вопрос автора. Чем он лучше обычных сессий - автор не спрашивал.

[Евгений Вольф]

Одиночка Айс, в отдельных случаях - вполне себе ничего. С одного IP может и сидят множество пользователей, в отдельных случаях, но далеко не множество пользователей пытаются многократно подделать куки. По сему, не вижу никакой проблемы, если в бан попадёт парочка домохозяек сидящих с того же роутера что и их хакер-сосед или десяток-другой проксей.

[Одиночка Айс]

Евгений Вольф, ужас, жестко что-то))

[Stalker_RED]

Евгений Вольф, мобильные операторы часто раздают один айпи на очень большое количество людей. Но как вы вообще определите, что куку подменили?

[Евгений Вольф]

Stalker_RED, если у пользователя в куке указан "ID'шник" которого нет, и это повторяется, скажем, раз 10 подряд... логично предположить, что что-то тут не так и нужно предпринимать какие-то действия. По принципу "не правильно ввёл пин-код 3 раза".

[Stalker_RED]

Евгений Вольф,

может возникнуть ситуация когда пользователь сменить содержимое куки к примеру на ID другого пользователя

если у пользователя в куке указан "ID'шник" которого нет, и это повторяется, скажем, раз 10 подряд

Вам не кажется, что "ID'шник которого нет" немножко не о том?

И вот эта тема, с зашиванием ip в хеш - если я с ноутом в кафе зайду, и получу другой айпи, меня сразу забанят? Отличный сервис. И не совсем понятно, как вы время собираетесь проверять.

[Евгений Вольф]

вот эта тема, с зашиванием ip в хеш - если я с ноутом в кафе зайду, и получу другой айпи, меня сразу забанят?

Я говорил про генерацию уникального ID, а не про сверку IP-адреса. Сверка IP-адреса происходит при попытках подмены куки.

И не совсем понятно, как вы время собираетесь проверять.

Время чего? Где именно написано, что я собираюсь проверять время?

[MIX2MAX]

Stalker_RED, сессии у новичков ложат сайт на раз, и вообще глупая идея и нагрузка, это как битрикс поставить на хоумпейдж или лейдинг

[MIX2MAX]

Евгений Вольф, брррррееееед и непонимание процессса
йпменяется при вкл. / выкл аваиарежима, перегрузки роутера итд...
в итоге вы всех из пушки да по воробьям,лоховство и позорство

[Stalker_RED]

MIX2MAX, а вас не затруднит привести пример, где "сессии у новичков ложат сайт"?
Ну может какая-то статья это описывает, чей-то блог, или может исследование какое-то проводилось.
Я просто не могу представить что нужно с сессиями наворотить, чтобы положить сайт. Ну или к этому новичку миллионный трафик пришёл?

[MIX2MAX]

Stalker_RED, могу ошибаться, но бегет и спринтхост у моих клиентов ложился, не раз, не помню что там было, но проблема была именно в сессиях, т. е. Не тоб чтоб сайт был не доступен, но сессии ломали..

[MIX2MAX]

Может я погорячился, и преувеличил, но новичкам использовать сессии без понимания процесса я б не рекомендовал

[Stalker_RED]

MIX2MAX, по умолчанию при старте сессии клиенту выдаётся кука с уникальным значением (Идентификатор сессии, ssid) и создаётся файл с таким-же именем.
Проблемы могут быть если:
1. Нет прав на создание файла (полностью косяк админа)
2. Закончилось место (ОМГ, сколько же у вас этих сессий? Ну или место забито чем-то другим)
3. Сессий настолько много, или диск настолько загружен, что операции с файловой системой начинают тормозить. (снова ОМГ, и снова вопрос точно ли это "сайт новичка" с милионным трафиком.)

При этом буквально в несколько строк кода хранен к сессий можно переназначить, и хранить их не в файлах, а в БД. (см session_save_handler) Тот-же редис, например.

И да, сессии придуманы в прошлом тысячелетии, и сейчас есть им альтернативы, тот-же jwt в некоторых случаях лучше/удобнее/производительнее. Но не всегда и не в "обычной новичковой" архитектуре.

Answer 2

[Stalker_RED]

Читайте про сессии.

Comments

[MIX2MAX]

ни в коем случае, не говоря уж о том что старт сессий не редко блокирует и кладет сайт на многих дешевых хостингах

[Stalker_RED]

MIX2MAX, или не блокирует и не кладёт. Смотря сколько этих сессий и насколько ужасный хостинг.

Хинт: никто не заставляет использовать самые дешевые, и даже среди бесплатных хостингов есть не настолько плохие, как вы описываете.

Answer 3

[profesor08]

$_SESSION

Comments

[MIX2MAX]

только лох так делает

[profesor08]

MIX2MAX, лох тот у кого сессии сайты кладут

Answer 4

[Юрий]

Вот тут рассматривается хорошая идея постоянной авторизации через куки.

Answer 5

[MIX2MAX]

етаг, самый надежный варик, ну или куки уникид

header('ETag: "'.$m.'"');
...
header('ETag: "'.$m.'"', true, 304);
...

header('Set-Cookie: '.$n.'='.$m.'; path=/; Max-Age=31536000; Secure; HttpOnly');
...