Какие достоверные данные можно получить от пользователя для дальнейшего создания хэша сессии авторизации?
Добрый день.
При авторизации пользователя на сайте хочу выдать ему Идентификатор сессии, включающий в себя захэшированные, допустим:
- Логин
- Хэш пароля
- IP-адрес
- User-Agent браузера
Записать в Cookie. Далее при проверке подлинности создавать хэш на уровне сервера, отправляя IP и UserAgent.
А есть ли какие-нибудь более-менее "действительные" (неподдельные) данные, как логин и пароль, которые можно было бы также включить в хэш, в Cookie? И насколько такая идея вообще жизнеспособна в плане безопасности/адекватности?
1. Идентификатор сессии это в первую очередь автогенерируемый параметр, который не должен опираться на пользовательские данные. Никогда.
2. Если вам необходимо иметь какие-то данные пользователя в быстром доступе на клиентской стороне то можете воспользоваться JWT токенами
Но если мне необходима банальная проверка, что сессия, используемая человеком, используется им самим, а не кем-то другим? Мне не нужны сами данные пользователя - нужно просто понимать, что он - это он сам, а не кто-то другой. В связи с этим, я подумал, что можно добавить какие-то данные, но затрудняюсь ответить, какие именно. И то ли я делаю.
