Как понять, когда использовать куки, а когда сессии?
Здравствуйте. Я знаю отличия куки от сессии.
1. Куки хранятся на компьютере пользователя, сессии на сервере.
2. Куки могут быть сторонними, сессии - нет.
3. Для работы сессий используются куки.
Но я не знаю, когда что использовать. Что лучше для авторизации? Для корзины в интернет-магазине? И т.д. Помогите разобраться.
Корзину можно в куки, а можно и в базу, если есть возможность идентифицировать пользователя
А для авторизации сессии, а в куках можно хранить ключ для кнопки "запомнить меня" (сессия истекла, а куки есть, ключ для сессии из кук продублирован в базе. Подошли - создать сессию, нет - вводи пароль)
sorry_i_noob, нет, можно хранить время последнего визита, можно хранить, прочитал ли юзер объявление на сайте (чтобы не показывать снова)
Куки можно много для чего использовать
Никита Колесников, да бесполезно "показывать капли из моря и пытаться объяснить как оно выглядит".
Человек не в теме... пусть почитает базу вначале и мало-мало освоит термины...
Куки - недоверенная информация (с клиента).
Сессия - доверенная информация (на сервере).
Выбор - очевиден!
Про корзину:
Набираете ID-шники (+кол-во по каждому) в json и храните в куках (или, что лучше, в localstorage). Сумму корзины - просто суммируете, исходя из цен товара при клике.
При заходе в корзину или оформлении - пересчитываете всю сумму заказа НА СЕРВЕРЕ по клиентскому JSON (отправив его предварительно при переходе и ЕЩЁ РАЗ! при нажатии кнопки "Оформить").
В более-менее серьезных приложениях куки шифруются. И изменить какую-либо информацию в них проблематично. Иначе на сервере они просто не расшифруются и удалятся.
Да и где нужна доверенная информация? Можете привести примеры? Какую такую секретную информацию нужно сохранять не в БД, а в сессии?
sorry_i_noob, куки - не могут шифроваться!
Шифроваться могут только данные.
Данные, которые шифруются - никогда не помещаются в куки!
Куки - содержат только ЦИФРОВУЮ ПОДПИСЬ (или ТОКЕН) для подписи запросов аутентифицированным клиентом.
Ваш вопрос - не имеет ответа до тех пор, пока Вы не почитаете достаточно материала о способах организации доступа. (т.к. Вы - ничего не поймёте)
Да и где нужна доверенная информация? Можете привести примеры?
Ну, например, залогинен ли пользователь,
Какую такую секретную информацию нужно сохранять не в БД, а в сессии?
Вообще вопрос не в тему, бд - долговременное хранилище, сессия - временное сессионное хранилище, по умолчанию убивающееся после выхода с сайта. Кроме того - никто не запрещает вам построить механизм сессий на записях в бд.
В более-менее серьезных приложениях куки шифруются. И изменить какую-либо информацию в них проблематично. Иначе на сервере они просто не расшифруются и удалятся.
это никак не относится к тому что на клиенте нельзя/можно хранить данные, обычно это просто еще одна степень защиты апи сайта от краулеров/парсеров. Какой смысл хранить на клиенте какие-либо данные с риском возможной расшифровки, если их все равно нужно передать на сервер? Легче хранить на сервере в сессии(где они не доступны вообще для клиента) и не дергать куки вообще.
Значится есть 2 нюанса: Сессии используются в привязке к пользователю, куки используются в привязке к браузеру. Прочитать куку может и браузер и сервер, прочитать сессию может только сервер.
Исходя из этого нужно планировать и проектировать свое приложение. Нужна разовая аутентификация(не авторизация!) с текущей машины? Можно использовать куки. Нужно хранить корзину в привязке к аккаунту - сессия и база. Авторизация - сессия, так как в ней хранятся обычно некоторые данные, которые не обязательно знать даже самому пользователю.
Нужно хранить корзину в привязке к аккаунту - сессия и база.
Почему не куки и база? Не такая это и секретная информация.
По тому что на другой машине ваши куки недоступны. Я же написал - в привязке к аккаунту.
Чем аутентификация отличается от авторизации?
аутентификация - задача определения пользователя, не обязательно привязывая его к учетным данным, грубо говоря определить что это конкретный какой-то пользователь, не сто процентов, но с высокой вероятностью. Например ты заходишь посмотреть порнушку на порнхаб, тебе всплывает предупреждение о возрасте, при его подтверждении в куки пишется аутентификация + подтверждения согласия, и при втором заходе с этого браузера, проверив куку, спрашивать тебя уже не будут. Что может спалить батя, зайдя на порнхаб после тебя с твоего компа.
Авторизация же гарантирует твою идентичность с данными записанными на сервере, с любой машины ты получишь настройки, рейтинги, личные данные(то есть авторизация это аутентификация+), и они в куках никак не видны.
