Реализация правильной опции «запомнить меня» и завершение сеансов удаленно?

Question

[Danya Secret]

Хотелось бы спросить у более опытных людей как создать логин/регистрацию на php с опцией запоминания пароля. Всегда просто записываю в сессию идентификатор пользователя(его айди в базе данных) и всегда просто строю запросы по этому самому идентификатору для выборки нужной информации. Насколько это безопасно? Может ли клиент подменить сессию и как от этого защитится? И по поводу опции с запоминанием сессии, это как сделать безопасно? Может зашифровать айди + время? Хотелось бы узнать самый оптимальный вариант. И также мне всегда нравилось, что сессии можно закрывать удаленно(как это сделано в телеграме). По сути это просто сохраненные ключи в БД? Но как быть, если сессия на клиенте просто пропадет? Заранее спасибо за ответ

Answer 1

[Максим]

Можно сделать токены, как предложил FanatPHP, но есть ещё другой способ:

Хранить сессии в базе данных и работу с сессиями осуществлять через базу данных. Тогда при удалении из базы сеанса пользователь разлогинивается.

Так же можете просмотреть эти материалы: Состояние: Cookies и сессии. и Способы аутентификации. Многое для себя узнаёте и ответите сами на свои вопросы.

Comments

[FanatPHP]

а на разных устройствах будет одна и та же сессия, или разные?

[Максим]

FanatPHP, я же сказал, что воспользоваться токенами можно. Я сам использую oauth2. Автор должен сам изучить вопрос и выбрать правильное решение. Так как видно сколько вопросов вызывает данная тема. Прикрепил так же ссылки на пару видео с объяснением.

[John Didact]

Максим, ThunderCat, FanatPHP, Дмитрий, я вообще нубище… При регистрации я генерю уникальный id сессии, записываю в БД. При логине, из БД беру id сессии и все остальные данные пользователя, сохраняю все данные в сессии с полученным id для всех устройств в файл с именем id сессии. Работаю с сессией не подключаясь к БД, если нужно обновить сессию, то ставлю об этом метку… если метка есть, обновляю сессию. Чтобы выйти со всех устройств, удаляю файл сессии и id сессии у пользователя в БД (null пишу, так как поле уникальное). При логине проверяю, есть ли id сессии у пользователя с логин/шифр.пароль. Если нет, то генерю новый уникальный SID и записываю его в БД... Потом сначала) Пздц дыра???

[FanatPHP]

Максим, ну офигеть, вместо того чтобы ответить на простой вопрос, прилепил пару ламерских видео.
А своя-то голова есть? Повторяю вопрос:

Хранить сессии в базе данных и работу с сессиями осуществлять через базу данных. Тогда при удалении из базы сеанса пользователь разлогинивается.

Сессия в этом случае будет одна на всех устройствах, или разные?

[Дмитрий]

FanatPHP, а что не так в видео по ссылкам?

[ThunderCat]

Дмитрий, Может то что 2 фразы читаются за 5 секунд, а видео имеет сильно больший размер по времени, не говоря уже о прочих трафиках/удобствах? Да банально завтра видео удалят и ответ уже совершенно не актуален.

[Дмитрий]

ThunderCat, о каких фразах Вы говорите?
Вряд-ли видео удалят, проект создан как раз для подобных видео. Да и не в этом дело.
Интересно, почему именно "ламерское" видео, что не так в содержании?

[ThunderCat]

Дмитрий, насчет ламерности видео ничего не скажу, не смотрел (а смысл?). Насчет фраз - если есть конкретный вопрос - по нему всегда можно ответить коротко или развернуто, буквами. И читается это за пару секунд. Если нет желания - ну скиньте линк на гитхаб с похожей библиотекой, от лары или симфони, ну или какого-то отдельного решения. Смотреть видео - наихудший вариант. Во первых - это всегда субъективное мнение автора видео, и не всегда верное в плане реализации, а во вторых читать и копировать легче из текста, нежели из видео. Да и непонятные куски проще перечитать чем крутить видео туда-сюда.

[Дмитрий]

ThunderCat, не со всем с Вами согласен.
На гитхате, по Вашим словам, всё верно в плане реализации?

[ThunderCat]

Дмитрий, там есть загрузки, звезды и рейтинг, более объективные параметры оценки, не находите?

[Дмитрий]

ThunderCat, не факт, тем более что Вы не смотрели видео.

[FanatPHP]

John Didact, https://stackoverflow.com/questions/22965067/when-...

[John Didact]

FanatPHP, ну я не совсем об этом… регенерирую SID я при смене пароля и прочее… Я поинтересовался о методе работы с данными. К БД я даже не подключаюсь после авторизации, не говоря уже о запросах.

Я никогда не читал, как пользователи идентифицируются. Сначала я хранил пароль и логин в куках и каждый раз брал данные с БД. Потом узнал о сессиях и хранил эти данные там, так же делал в БД запросы каждую загрузки страницы. Сейчас вот пароль не храню ни в сессии, ни в куках. И к БД не обращаюсь без веского повода.

[Максим]

FanatPHP, ох и завёлся фанатик)

ThunderCat

Насчет фраз - если есть конкретный вопрос - по нему всегда можно ответить коротко или развернуто, буквами.

Да?) Хорошо. Мой вопрос. «Я новичок. Как мне на php поднять приложение API на симфони? Слышал ещё что-то про микросервисы. Было бы не плохо пример и описать подробно как это сделать. Спасибо». Мне сейчас уже смеяться или ждать вашего «развёрнутого» ответа?)) Но не забывайте. Я должен не только понять, но ещё и сделать и прочитать за пару секунд. Как вы сказали. Жду.

Если нет желания - ну скиньте линк на гитхаб с похожей библиотекой, от лары или симфони, ну или какого-то отдельного решения.

А чего же вы не скинули?) И есть темы, которые не показать на коде. Если у вас нет желания - не отвечайте. А не кидайте ссылку на библиотеку в которой он не разберётся. Какой новичок прочитает чужой недокументированный код. И профессионал не всегда может понять сразу что и к чему. Да, многое зависит от написанного кода, но всё же. Чаще встречается лапшекод, который мало кому понятен. А вообще библиотеки не для этого создаются чтоб в них ковыряться и разбираться. Хорошая библиотека это публичный API который показывает как использовать эту библиотеку. А как там под капотом - вас мало что должно интересовать. Разве что посмотреть зависимости, абстракцию, читаемость и так далее. Как это работает, будет разбираться только профессионал, но не новичок.

Смотреть видео - наихудший вариант.

Интересно. А для чего тогда создают целые платформы курсов из видео? И зачем их вообще смотрят тогда тысячи людей. Ещё и деньги за это платят. Дураки) Вы, наверное, не знали, но чаще всего люди смотрят видео. Особенно новички.

Во первых - это всегда субъективное мнение автора видео, и не всегда верное в плане реализации,

А ваш ответ на тостер не субъективное мнение? Верное или не верное решать не вам. Программист должен подобрать инструмент сам. Для этого он и программист. Так сложилось, что программисту нужно выбирать инструменты и знать как ими пользоваться. И это нормально.

во вторых читать и копировать легче из текста, нежели из видео

Хороший видео урок всегда Содержит исходных код с git историей, по которой можно пройтись и восстановить историю созданию даже по коду. Данная платформа как раз так и устроена. Автор публикует видео и код. С чтением, спорить не буду. Читать быстрее, чем слушать. Однако записать видео гораздо быстрее, чем написать статью. И любой проигрыватель имеет возможность ускорения. В большинстве случаев этого достаточно.

И тут же вы пишите

ТС должен научиться нормально формулировать вопрос, а не тыкать пальцем в лужу, подбирая аналогии из сказок и рыбацких баек. Есть же четкое название у функционала.

Откуда он должен узнать все эти термины? В большинстве своём новички вообще ничего не знают и правильно вопрос не могут задавать. Поэтому им и нужно обучаться.

Да и непонятные куски проще перечитать чем крутить видео туда-сюда.

С этим не поспоришь. Но сколько потребуется времени напечатать этот весь текст. Поэтому будущее за видео обучением. Вы где-нибудь видели текстовое обучение? Я не особо. А вот видео платформ очень много. Но давайте эту тему мы даже не будем начинать обсуждать))

там есть загрузки, звезды и рейтинг, более объективные параметры оценки, не находите?

Опять же говорю, что хороший видео урок имеет код на гитхаб. Где есть все ваши критерии + под видео есть лайки и комментарии. Ещё больше критериев))

Может то что 2 фразы читаются за 5 секунд

Ваша задача ответить двумя фразами или просветить автора вопроса в данной теме? Ведь он тут же пойдёт и задаст другие вопросы на эту же тему. А все потому, что ответили за 2 секунды. По вашему проценту решений (27%) вы именно так и делаете. Ответ за две секунды - и пошёл дальше.

А ещё хуже будет так, когда он узнает, что ему оказывается вообще не это надо было. Эксперт дает краткий путь к знаниям, а не ответы за 2 секунды. От того, что вы ответили как надо и не рассказали другие детали, автор и будет делать только так не думая своей головой, попутно задавая однотипные вопросы. Если ему нужно будет отступить от вашего предложения, то у него будет дискомфорт. Ведь может так нельзя...

И с чего вы решили что видео ламерское? Если ни один из вас этого не смотрел видео. Вы, возможно, ещё сами найдёте в нем для себя что-то новое. Поспешные выводы как раз и говорят о то, что вы здесь сидите не чтоб помочь, а чтобы побольше рейтинга набрать. Ответил «за пару секунд» и пошёл дальше) Может, ошибаюсь, но выглядит так...

В общем я не увидел здравого смысла в ваших комментариях. Я не пытаюсь отстоять свой ответ, переубедить вас или как-то упрекнуть вас. Просто прокомментировал это для вас. Не собираюсь вступать в спор. Данный ответ, скорее всего и вовсе удалю. Потому что он перешёл в бездумный спор. Причём я удивляюсь, что это пишут два человека с большим вкладом. Да ещё и вы являетесь куратором. Это очень странно наблюдать.

С вами я ругаться не собираюсь) Просто очень странно что вы так думаете)

[Максим]

John Didact, посмотрите моих два видео) Я думаю, что они вам дадут много понимания. Через некоторое время удалю свой ответ, так как он перешёл из русла обсуждения и помощи в русло споров и обсуждения у кого яйца больше)

[Danya Secret]

Парни, это немного не относится к теме данной теме) Можно создать отдельную тему и вести дискуссии по этому вопросу там)

Answer 2

[FanatPHP]

Генеришь токен из random_bytes() (ну или UUID) и кладешь его в куки и в базу.
Соответственно получаешь токен из куки и по базе находишь юзера.
Если надо разлогинить, то генеришь новый токен.

Использовать ли при этом сессию - вопрос вкуса, и в общем-то второстепенный. Можно использовать, можно не использовать

Answer 3

[ThunderCat]

Насколько это безопасно?

Нифига вообще не безопасно, тупо можно перебором всех "попробовать порулить". Большая такая дыра. Ну, пока не заметили - все ок, но кто-то обязательно заметит, 148%.

И по поводу опции с запоминанием сессии, это как сделать безопасно?

Уже написали, в принципе смысл - не хранить какие-то явно связывающие данные типа логина или айди в качестве ключа, а генерировать случайный хеш/ключ, который хранить на клиенте и на сервере.

И также мне всегда нравилось, что сессии можно закрывать удаленно(как это сделано в телеграме).

Не понял о чем речь, удаленно это из туалета когда комп в комнате? или из тайного центра тайного правительства отключать клиенту сессию и интернет? О чем это вообще?

Но как быть, если сессия на клиенте просто пропадет?

Сессия (внезапно) не может пропасть на клиенте, по тому как ее там никогда не бывает, бывает там только сессионная кука - ключ к сессии, которая (сессия) - на сервере, так что вопрос в данной формулировке смысла не имеет.

Comments

[FanatPHP]

Это когда в интерфейсе есть галочка, "разлогинить меня на всех устройствах".

[ThunderCat]

FanatPHP, ТС должен научиться нормально формулировать вопрос, а не тыкать пальцем в лужу, подбирая аналогии из сказок и рыбацких баек. Есть же четкое название у функционала.