Авторизация на сайте через ВКонтакте. Что хранить в куках?
Для регистрации на сайте планирую использовать авторизацию через ВКонтакте при помощи authorization code flow. Это нужно, чтобы получить имя, фамилию, адрес почты.
Но мне нужно, чтобы через неделю пользователь зашел на сайт, и уже был авторизован.
Что хранить в куках для безопасного использования сайта и невозможности подмены аккаунта?
Как грамотно организовать структуру БД MySQL для хранения сессий?
Все как в обычной авторизации. Когда пользователь вводит логин и пароль, ты же проверяешь наличие пользователя и сравниваешь пароль?
В случае с вк, при первой авторизации, ты сохраняешь в бд id пользователя вк, ну и мыло, если нужно. при повторной авторизации, проверяешь, есть ли у тебя этот пользователь вк в бд, если есть, то авторизируешь его.
То есть получается при авторизации сервер ВК присылает мне ID юзера и токен. Я проверяю, есть ли такой user id в БД. Если есть — ставлю какую-то куку. А что хранить в куке? Если тот же user id, то я получается, могу подменить кукис у себя в браузере и зайти на сайт как любой пользователь. Либо хранить user id и токен? Безопасно ли это? Или надо генерировать какую-то третью hash-строку, которую совать и в куки и в БД?
targetologru, токен и vk_id хранишь в базе. Их хранить нужно только для проверки при автооризации.
Как точно авторизировать я не помню, много лет использую фреймворки, которые делают это все из коробки.
Но когда был молодым и зеленым делал как-то так.
При авторизации записывал хэш пользователя
