Будет ли правильным в php при авторизации просто занести только логин в сессию?

Question

[patupin]

Будет ли правильным в php при авторизации просто занести только логин в сессию или как сделать более менее безопастно?

Answer 1

[Дмитрий Астриков]

Обычно при успешной авторизации запоминаю в сессию только id пользователя. Если логин в вашем случае уникален, то можно и его. Суть в том, чтобы при необходимости, вы могли в любой момент вытащить по этому полю остальные данные пользователя.

Answer 2

[vapmaster]

В целях безопасности в сессии имеет смысл хранить только идентификатор пользователя и идентификатор в виде хэша от IP пользователя + User Agent пользователя + Соль. Таким образом вы всегда сможете проверить принадлежность сессии данному пользователю, а также оставите за собой возможность контроллировать сессию при смене пользователем IP адреса или браузера.

Answer 3

[Виталий Желтяков]

Достаточно только ID.

А вот что действительно не нужно, так это IP и UserAgent. Это пережитки прошлого века. При использовании в алгоритмах проверки IP появятся проблемы с людьми, которые работают через проксик. UserAgent нужно проверять на клиенте, а не на сервере.

Comments

[Назар Мокринский]

Вы не правы почти полностью. Что плохого в том, чтобы проверять User Agent? И при чем тут клиент?

[Howeal]

Тоже не понял. Зачем проверять User-Agent на клиенте? Помимо ID в сессии можно хранить соль от пароля для того, чтобы при смене пароля в целях безопасности все старые сессии юзера (или злоумышленника) автоматически отвалились. Либо хранить сессию в базе и при смене пароля удалять остальные сессии.

Answer 4

[Назар Мокринский]

Лучше добавить User Agent, а если можно - и IP, и сверять их с текущими.

Comments

[Виталий Желтяков]

IP? Вы в своём уме? А что по вашему будет со всеми кто сидит за проксиком?

[gro]

@VitaZheltyakov и что же с ними случится?

[Назар Мокринский]

@VitaZheltyakov Брать IP прокси, в любом случае это ограничит область тех людей, которые потенциально смогут войти с сессией. А ещё я написал "если можно" - например, для мобильного сайта это не удобно, так как во время переподключения к сети IP может смениться.

[Роман Назаркин]

Если добавлять User Agent в сессию и потом сверять - мы получим сброс логина после каждого обновления браузера(к примеру, тот же Google Chrome чуть ли не каждую неделю обновляется в автоматическом режиме).

Answer 5

[Александр Каторгин]

Полностью согласен с @astrikovd. Как правило всегда есть ID пользователя. И соответственно после того, как юзер прошёл авторизацию, достаточно только хранить его идентификатор и проверять его только по ID, записанной в сессии.

Answer 6

[Роман Назаркин]

Из всего изложенного выше - наиболее оптимальным вариантом вижу хранение в сессии сериализованного(json_encode, serialize) массива из ID(или логина, при условии его уникальности) юзера и хеша пароля. При смене пароля - все старые сессии отпадают.

Категорически не рекомендую и использовать проверки по IP и User Agent.
При проверке по IP - отпадают пользователи на динамических IP(это те же мобильные операторы).
При проверке User Agent - сессия будет слетать при каждом обновлении браузера(т.к. User Agent в этом случае тоже меняется). А все современные браузеры обновляются очень часто и в автоматическом режиме.

Еще как вариант(более параноидальный) - можно генерировать рандомный хеш sha256(или sha1, md5, без разницы), заносить этот хеш в бд рядом с ID юзера. Затем записывать пользователю две куки - с id и с этим хешем. При посещении проверять эти два параметра.