Правилен ли подход к запоминанию пользователя на сайте через куки?

Question

[JackShcherbakov]

Здравствуйте! На сайте реализовал функционал запоминания пользователя. Алгоритм таков:
Если нажата Галочка "запомнить меня", и если логин и пароль верны, то:
1. Сохранить логин и пароль функцией set cookie, предварительно захешировав пароль функцией passwordhash
2. При последующих запросах будет проверяться пароль из куки с паролем из базы данных функцией password-verify.

Насколько это правильно? Можно ли так делать?

Заранее спасибо!

Answer 1

[xmoonlight]

token сохраняется в куки браузера на основе устройства и учётных данных.
token - это просто один хэш, он же сохраняется в БД для клиентского устройства.
Связка такая: UserID (логин+пасс) -> клиент(устройство) -> token
Чтобы один юзер мог заходить с одним паролем на разных устройствах и видеть где его сессии сейчас залогинены.
Если токен украдут и используют на другом устройстве - он будет уже не валиден.

Логин и пароль - нужны только при входе в учётку, или когда токен пустой или не валидный. Вначале нужно проверить пару логин и пароль, и, если авторизация прошла - сформировать новый токен.

Comments

[JackShcherbakov]

Тогда где куки может понадобится кроме как идентификации юзера? Ведь все можно в сессии хранить.

[xmoonlight]

JackShcherbakov, сессия - на сервере. она со временем истекает и при входе работает токен из кук. т.е. передаётся только токен(хеш там) и всё.
Токен - может иметь лимит, может быть безлимитным (не рекомендуется!).
По истечению лимита - токен необходимо обменять на другой: перевыписать.
Этого юзер даже не заметит.

Answer 2

[ipokos]

Можно ли так делать?

Нет.

Учетные данные, результаты проверок, валидаций хранить в сессии.