Как понять, когда использовать куки, а когда сессии?

Question

[sorry_i_noob]

Здравствуйте. Я знаю отличия куки от сессии.
1. Куки хранятся на компьютере пользователя, сессии на сервере.
2. Куки могут быть сторонними, сессии - нет.
3. Для работы сессий используются куки.

Но я не знаю, когда что использовать. Что лучше для авторизации? Для корзины в интернет-магазине? И т.д. Помогите разобраться.

Answer 1

[Никита Колесников]

Корзину можно в куки, а можно и в базу, если есть возможность идентифицировать пользователя
А для авторизации сессии, а в куках можно хранить ключ для кнопки "запомнить меня" (сессия истекла, а куки есть, ключ для сессии из кук продублирован в базе. Подошли - создать сессию, нет - вводи пароль)

Comments

[sorry_i_noob]

А для авторизации сессии.

Только ради кнопки "Запомнить меня"?

[Никита Колесников]

sorry_i_noob, нет, можно хранить время последнего визита, можно хранить, прочитал ли юзер объявление на сайте (чтобы не показывать снова)
Куки можно много для чего использовать

[xmoonlight]

Никита Колесников, да бесполезно "показывать капли из моря и пытаться объяснить как оно выглядит".
Человек не в теме... пусть почитает базу вначале и мало-мало освоит термины...

Answer 2

[xmoonlight]

Куки - недоверенная информация (с клиента).
Сессия - доверенная информация (на сервере).
Выбор - очевиден!

Про корзину:
Набираете ID-шники (+кол-во по каждому) в json и храните в куках (или, что лучше, в localstorage). Сумму корзины - просто суммируете, исходя из цен товара при клике.
При заходе в корзину или оформлении - пересчитываете всю сумму заказа НА СЕРВЕРЕ по клиентскому JSON (отправив его предварительно при переходе и ЕЩЁ РАЗ! при нажатии кнопки "Оформить").

Comments

[sorry_i_noob]

В более-менее серьезных приложениях куки шифруются. И изменить какую-либо информацию в них проблематично. Иначе на сервере они просто не расшифруются и удалятся.

Да и где нужна доверенная информация? Можете привести примеры? Какую такую секретную информацию нужно сохранять не в БД, а в сессии?

[xmoonlight]

sorry_i_noob, куки - не могут шифроваться!
Шифроваться могут только данные.
Данные, которые шифруются - никогда не помещаются в куки!
Куки - содержат только ЦИФРОВУЮ ПОДПИСЬ (или ТОКЕН) для подписи запросов аутентифицированным клиентом.

Ваш вопрос - не имеет ответа до тех пор, пока Вы не почитаете достаточно материала о способах организации доступа. (т.к. Вы - ничего не поймёте)

[sorry_i_noob]

xmoonlight, можете скинуть ссылки на хорошие статьи?

[sorry_i_noob]

xmoonlight, куки шифруются. вон, даже вопрос такой задавали тут: Нужно ли шифровать куки? .

[xmoonlight]

sorry_i_noob, про шифруются, вот из ответа:

1. Зашифрован ID + useragent. (Плохой вариант если злоумышлиникам станет известен механизм шиврования)

Вот о чём речь!
Только ХЕШИРОВАНИЕ параметров на основе данных клиента (сразу после авторизации)!
Оно же называется ТОКЕН авторизации.

[xmoonlight]

sorry_i_noob,

можете скинуть ссылки на хорошие статьи?

Открываем википедию и в поиске (поочерёдно ищем статьи и читаем):
Шифрование, хеширование, цифровая подпись, аутентификация и т.д.

[ThunderCat]

sorry_i_noob,

Да и где нужна доверенная информация? Можете привести примеры?

Ну, например, залогинен ли пользователь,

Какую такую секретную информацию нужно сохранять не в БД, а в сессии?

Вообще вопрос не в тему, бд - долговременное хранилище, сессия - временное сессионное хранилище, по умолчанию убивающееся после выхода с сайта. Кроме того - никто не запрещает вам построить механизм сессий на записях в бд.

В более-менее серьезных приложениях куки шифруются. И изменить какую-либо информацию в них проблематично. Иначе на сервере они просто не расшифруются и удалятся.

это никак не относится к тому что на клиенте нельзя/можно хранить данные, обычно это просто еще одна степень защиты апи сайта от краулеров/парсеров. Какой смысл хранить на клиенте какие-либо данные с риском возможной расшифровки, если их все равно нужно передать на сервер? Легче хранить на сервере в сессии(где они не доступны вообще для клиента) и не дергать куки вообще.

Answer 3

[Антон Р.]

Куки - это когда ты даешь вору-домушнику подержать свои ключи от дома и отворачиваешься... Не давай ключи ворам (логины, пароли и пр.)

Answer 4

[ThunderCat]

Значится есть 2 нюанса: Сессии используются в привязке к пользователю, куки используются в привязке к браузеру. Прочитать куку может и браузер и сервер, прочитать сессию может только сервер.

Исходя из этого нужно планировать и проектировать свое приложение. Нужна разовая аутентификация(не авторизация!) с текущей машины? Можно использовать куки. Нужно хранить корзину в привязке к аккаунту - сессия и база. Авторизация - сессия, так как в ней хранятся обычно некоторые данные, которые не обязательно знать даже самому пользователю.

Comments

[sorry_i_noob]

Нужно хранить корзину в привязке к аккаунту - сессия и база.

Почему не куки и база? Не такая это и секретная информация.

Нужна разовая аутентификация(не авторизация!) с текущей машины? Можно использовать куки.

Чем аутентификация отличается от авторизации?
Все равно не понятно ((( .

[ThunderCat]

sorry_i_noob,

Нужно хранить корзину в привязке к аккаунту - сессия и база.

Почему не куки и база? Не такая это и секретная информация.

По тому что на другой машине ваши куки недоступны. Я же написал - в привязке к аккаунту.

Чем аутентификация отличается от авторизации?

аутентификация - задача определения пользователя, не обязательно привязывая его к учетным данным, грубо говоря определить что это конкретный какой-то пользователь, не сто процентов, но с высокой вероятностью. Например ты заходишь посмотреть порнушку на порнхаб, тебе всплывает предупреждение о возрасте, при его подтверждении в куки пишется аутентификация + подтверждения согласия, и при втором заходе с этого браузера, проверив куку, спрашивать тебя уже не будут. Что может спалить батя, зайдя на порнхаб после тебя с твоего компа.

Авторизация же гарантирует твою идентичность с данными записанными на сервере, с любой машины ты получишь настройки, рейтинги, личные данные(то есть авторизация это аутентификация+), и они в куках никак не видны.