Di21H
@Di21H
Обычный человек

Как сохранить авторизацию в сессиях?

Смотрю гайды по созданию формы авторизации везде после успешной проверки логина/пароля в сессиях сохраняют только айди пользователя. Таким образом я в личном кабинете могу по айди из сессий получить данные. А если подменить эту сессию? То я могу получить доступ к данным другого пользователя. Как это правильно делается? Нужно в сессиях сохранять хеш пароля и логин и каждый раз проверять его?
  • Вопрос задан
  • 152 просмотра
Пригласить эксперта
Ответы на вопрос 2
Kulaxyz
@Kulaxyz
Могу лучше
У пользователя есть доступ только к куки, сессия исключительно на серверной стороне, поэтому её подменить не получится, а вот в куки как раз таки и хранятся логин и хэш пароля
Ответ написан
anton_reut
@anton_reut
Начинающий веб-разработчик
Сессию ты не подменишь потому что угадать id сессии вида: asbkuabfanbvuwefu32832gb3hbfb32b9ffb - очень не легко.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы