Di21H
@Di21H
Обычный человек

Как сохранить авторизацию в сессиях?

Смотрю гайды по созданию формы авторизации везде после успешной проверки логина/пароля в сессиях сохраняют только айди пользователя. Таким образом я в личном кабинете могу по айди из сессий получить данные. А если подменить эту сессию? То я могу получить доступ к данным другого пользователя. Как это правильно делается? Нужно в сессиях сохранять хеш пароля и логин и каждый раз проверять его?
  • Вопрос задан
  • 144 просмотра
Пригласить эксперта
Ответы на вопрос 3
Kulaxyz
@Kulaxyz
Могу лучше
У пользователя есть доступ только к куки, сессия исключительно на серверной стороне, поэтому её подменить не получится, а вот в куки как раз таки и хранятся логин и хэш пароля
Ответ написан
aleksejjjj
@aleksejjjj
В куках достаточно хранить только ID сессии. Собственно PHP делает это за вас автоматически. В сессии достаточно хранить только ID пользователя. Она на серверной стороне и подменить её не выйдет. Никаких хешей пароля вам в ней точно не нужно.
Ответ написан
anton_reut
@anton_reut
Начинающий веб-разработчик
Сессию ты не подменишь потому что угадать id сессии вида: asbkuabfanbvuwefu32832gb3hbfb32b9ffb - очень не легко.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
05 апр. 2020, в 12:19
3000 руб./за проект
05 апр. 2020, в 12:11
35000 руб./за проект
05 апр. 2020, в 12:06
5000 руб./за проект