Задать вопрос
@ZaxapKramer
Больной верстальщик

Какие достоверные данные можно получить от пользователя для дальнейшего создания хэша сессии авторизации?

Добрый день.
При авторизации пользователя на сайте хочу выдать ему Идентификатор сессии, включающий в себя захэшированные, допустим:
- Логин
- Хэш пароля
- IP-адрес
- User-Agent браузера
Записать в Cookie. Далее при проверке подлинности создавать хэш на уровне сервера, отправляя IP и UserAgent.

А есть ли какие-нибудь более-менее "действительные" (неподдельные) данные, как логин и пароль, которые можно было бы также включить в хэш, в Cookie? И насколько такая идея вообще жизнеспособна в плане безопасности/адекватности?

Заранее благодарю.
  • Вопрос задан
  • 185 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 1
inoise
@inoise Куратор тега PHP
Solution Architect, AWS Certified, Serverless
1. Идентификатор сессии это в первую очередь автогенерируемый параметр, который не должен опираться на пользовательские данные. Никогда.
2. Если вам необходимо иметь какие-то данные пользователя в быстром доступе на клиентской стороне то можете воспользоваться JWT токенами
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы