@ZaxapKramer
Больной верстальщик

Какие достоверные данные можно получить от пользователя для дальнейшего создания хэша сессии авторизации?

Добрый день.
При авторизации пользователя на сайте хочу выдать ему Идентификатор сессии, включающий в себя захэшированные, допустим:
- Логин
- Хэш пароля
- IP-адрес
- User-Agent браузера
Записать в Cookie. Далее при проверке подлинности создавать хэш на уровне сервера, отправляя IP и UserAgent.

А есть ли какие-нибудь более-менее "действительные" (неподдельные) данные, как логин и пароль, которые можно было бы также включить в хэш, в Cookie? И насколько такая идея вообще жизнеспособна в плане безопасности/адекватности?

Заранее благодарю.
  • Вопрос задан
  • 117 просмотров
Решения вопроса 1
inoise
@inoise
Solution Architect, AWS Certified, Serverless
1. Идентификатор сессии это в первую очередь автогенерируемый параметр, который не должен опираться на пользовательские данные. Никогда.
2. Если вам необходимо иметь какие-то данные пользователя в быстром доступе на клиентской стороне то можете воспользоваться JWT токенами
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
ЧИТАЙ-ГОРОД Москва
от 140 000 до 210 000 ₽
РосТендер Москва
от 130 000 до 150 000 ₽
Amigoweb Магнитогорск
от 40 000 до 70 000 ₽