Как правильно сделать защищенную авторизацию с куки на php?

Question

[4sadly]

Как лучше сделать авторизацию по куки?
Нормальным ли будет вариант хранить в куки ip и логин, и при входе по куки проверять ip последнего входа и только если они одинаковые - впускать, как лучше защититься?

Answer 1

[DevMan]

ну и зачем это хранить в куках?
покурите про сессии.

Comments

[4sadly]

Так сессия заканчивается после закрытия браузера

[DevMan]

4sadly, кто сказал? заканчивается с браузером она только у тех, кто не умеет ими пользоваться.

[4sadly]

DevMan, получается надо использовать
session_start
session_create_id, но как потом получить сессию по ее id?

[DevMan]

4sadly, https://www.php.net/manual/ru/session.configuratio...

[DevMan]

4sadly, все что вам нужно - это валидная сессия. остальное - от мракобесия.

[4sadly]

DevMan, и как использовать это?
Все что я знаю, что можно открыть сессию, задать значения в массиве и закрыть, но как после закрытия браузера к ней получить доступ по id или чему-нибудь другому?

[DevMan]

4sadly, ссылку читали? знаете как сессии работают?

[DevMan]

4sadly, вопросы без глума, прост чтоб знать на каком уровне объяснять.

[4sadly]

DevMan, ссылку читал, про то как работают сессии ни слова

[Ivan Yakushenko]

4sadly, что непонятного во фразе "указывает время жизни cookies, отправляемого в браузер клиента, в секундах. Значение 0 означает, что cookies будут валидны до закрытия браузера."?

[DevMan]

4sadly, по ссылке не о сессиях, а как сделать чтоб они жили и после закрытия сессии.

когда вызывается session_start, автоматом проверяется кука и восстанавливается сессия (если она есть) или создаётся новая (если куки нет).

[4sadly]

DevMan, так там же только 1 ссылка

[DevMan]

4sadly, два вопроса вы не заметили и слепили в один, где ссылка?

[4sadly]

DevMan, как я понял, можно задать сессии id с помощью session_id и в следующий раз при старте сессии прописать

session_id(id)
session_start();

и начнется та же самая сессия, если не прописать session_destroy

<?php
session_id(id);
session_start();
if($_SESSION['ip'] == $_SERVER['REMOTE_ADDR'] and $_SESSION['browser'] == $_SERVER['HTTP_USER_AGENT']){
	echo 'Вход выполнен';
}else{
	unset($_SESSION);
	echo 'Вход не выполнен';
}
?>

еще вместо session_id можно использовать session_name для доступа к незавершенной сессии?
правильно ли я понимаю?

[DevMan]

4sadly, можно. но обычно не нужно.

Answer 2

[xmoonlight]

Лучше - хранить токен сессии в куках, привязанный к ID клиента(браузера, например) и дополнительно, создать и использовать поведенческий фильтр на действия пользователя.

Сам токен - ничего не хранит.

Все "весовые" (несколько факторов, меняющихся во времени, но не более, чем на половину, за исключением пароля) привязки данных к токену - хранятся на сервере и проверяются после проверки токена с использованием поведенческого фильтра.

Comments

[4sadly]

Привязанный к id клиента?

[xmoonlight]

4sadly, да

[4sadly]

xmoonlight, это как?

[xmoonlight]

4sadly, например, fingerprint2.js