Что лучше использовать для авторизации пользователей cookie или сессии?

Question

[Jun ior]

При создании авторизации на сайте возник вопрос что лучше использовать сессии или куки

Answer 1

[Сергей Соколов]

Сессии чаще всего держатся на cookie: с каждым запросом браузер передает куку с идентификатором сессии, и php вытаскивает из своего хранилища – файлов, Redis, базы данных, как настроете – сессионные данные для этого id.

Т.е. различие в том, где хранить сами данные сессии: на сервере или на клиенте.

Всё, что приходит с клиента можно подделать. Поэтому лучше использовать сессии.

Comments

[Merzley]

Немного добавлю к минусам кук. В сессии можно хранить любой объем информации, а куки ограничены, если не ошибаюсь, 4 Кбайт.

[vladimirir]

Так, а если кому-то в руки попадёт кука с id для сессии, он же также спокойно может её использовать тогда для авторизации, разве нет? Чем это тогда безопаснее, чем просто пароль хранить в куке (что, понятное дело, вообще не безопасно)

[persovt]

vladimirir, нет. Можно использовать fingerprint для индификации пользователя по данному токену

Answer 2

[Дмитрий Ким]

Обычно это связанные вещи. Иначе как вы определите к какой сессии относится данный пользователь? Если конечно не используется php-session-trans-id.