Задать вопрос
@heyMyWay

Безопасно ли хранить токен в куках?

Инфо:
У меня есть специальное поле у каждого юзера, которое генерируется при первой авторизации и при смене пароля. Оно нужно, чтобы сверять его со значением в куках и если совпадает, то всё ок, а если нет, то выбиваем аккаунт из авторизации.

Это, например, необходимо, когда сменили пароль и на всех других устройствах делаем выход. Иначе смысл в смене пароля отпадает.

Вопрос:
Могу ли я хранить в незашифрованномм виде в куках это значение? Потому что по факту ни на что не влияет кроме как на авторизацию. Ещё это значение используется как уникальный идентификатор в сокетах socket.io, и мы его выводим в консоли при успешном подключении сокета.

p.s. использую laravel, там готового решения не нашёл, token не использую их местный, который нужен для Remember Me.
  • Вопрос задан
  • 342 просмотра
Подписаться 1 Средний Комментировать
Решения вопроса 1
@heyMyWay Автор вопроса
Решение для Laravel. Оказалось в 5.3 версии добавили эту проверку при смене пароля, функция до сих пор не документирована. Вот описание и решение https://kfirba.me/blog/the-undocumented-authentica...
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
1. Токен - это токен! Зашифрован он или не зашифрован - не важно.
2. Других вариантов для авто-логона, кроме как сохранённый токен на стороне клиента - я не знаю.
3. Не забудьте только проверять смену клиентского устройства с идентичным токеном (чтобы не взяли его и не передали на другой ПК): если клиентское устройство - это браузер, то должна помочь следующая связка: подсеть провайдера + fingerprint2. Меняется связка => запрашиваем авторизацию и выписываем новый токен, затем - добавляем этот токен к аккаунту на сервер (старые, разумеется, не трогаем).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы