JackShcherbakov
@JackShcherbakov

Правилен ли подход к запоминанию пользователя на сайте через куки?

Здравствуйте! На сайте реализовал функционал запоминания пользователя. Алгоритм таков:
Если нажата Галочка "запомнить меня", и если логин и пароль верны, то:
1. Сохранить логин и пароль функцией set cookie, предварительно захешировав пароль функцией passwordhash
2. При последующих запросах будет проверяться пароль из куки с паролем из базы данных функцией password-verify.

Насколько это правильно? Можно ли так делать?

Заранее спасибо!
  • Вопрос задан
  • 83 просмотра
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
token сохраняется в куки браузера на основе устройства и учётных данных.
token - это просто один хэш, он же сохраняется в БД для клиентского устройства.
Связка такая: UserID (логин+пасс) -> клиент(устройство) -> token
Чтобы один юзер мог заходить с одним паролем на разных устройствах и видеть где его сессии сейчас залогинены.
Если токен украдут и используют на другом устройстве - он будет уже не валиден.

Логин и пароль - нужны только при входе в учётку, или когда токен пустой или не валидный. Вначале нужно проверить пару логин и пароль, и, если авторизация прошла - сформировать новый токен.
Ответ написан
@ipokos
Можно ли так делать?

Нет.

Учетные данные, результаты проверок, валидаций хранить в сессии.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы