Авторизация на сайте через ВКонтакте. Что хранить в куках?

Question

[Акваланг]

Для регистрации на сайте планирую использовать авторизацию через ВКонтакте при помощи authorization code flow. Это нужно, чтобы получить имя, фамилию, адрес почты.

Но мне нужно, чтобы через неделю пользователь зашел на сайт, и уже был авторизован.

Что хранить в куках для безопасного использования сайта и невозможности подмены аккаунта?

Как грамотно организовать структуру БД MySQL для хранения сессий?

Answer 1

[Акваланг]

Тогда такой вариант:
Генерирую hash-строку по user_id + token, типа SESSION_ID
А также генерирую что-то типа LOGIN_TIME

Оба параметра записываю в БД. И при заходе на сайт сравниваю куки и БД на наличие двух этих данных.

Такой вариант норм?

Answer 2

[Илья Белобородов]

Все как в обычной авторизации. Когда пользователь вводит логин и пароль, ты же проверяешь наличие пользователя и сравниваешь пароль?
В случае с вк, при первой авторизации, ты сохраняешь в бд id пользователя вк, ну и мыло, если нужно. при повторной авторизации, проверяешь, есть ли у тебя этот пользователь вк в бд, если есть, то авторизируешь его.

Или вопрос не вк, а в способе авторизации?

Comments

[Акваланг]

То есть получается при авторизации сервер ВК присылает мне ID юзера и токен. Я проверяю, есть ли такой user id в БД. Если есть — ставлю какую-то куку. А что хранить в куке? Если тот же user id, то я получается, могу подменить кукис у себя в браузере и зайти на сайт как любой пользователь. Либо хранить user id и токен? Безопасно ли это? Или надо генерировать какую-то третью hash-строку, которую совать и в куки и в БД?

[Александр]

скорее всего вопрос в том, как безопасно реализовать функционал "remember me", использую авторизацию VK.

[Акваланг]

Minifets, именно так. Кто бы еще ответил :)

[Илья Белобородов]

targetologru, токен и vk_id хранишь в базе. Их хранить нужно только для проверки при автооризации.
Как точно авторизировать я не помню, много лет использую фреймворки, которые делают это все из коробки.
Но когда был молодым и зеленым делал как-то так.
При авторизации записывал хэш пользователя

$salt = 'secret_key';
$hash = md5($_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_REFERER'].$salt)

$hash сохранял в бд.
На каждой странице проверял $hash пользователя и $hash из бд, если не совпадает - выкидываю его на страницу авторизации.

Если пользователь вводит свой логин и пароль, то при авторизации создаешь хэш по новой, и проверяешь его при каждом запросе в бд

Но рекомендую дождаться нормальных ответов, я не уверен, что это безопасно