Задать вопрос
@vareted

PHP, безопасность, авторизация. Вопрос?

пишу авторизацию для сайта на php. Возник вопрос по поводу безопасности при реализации функции "запомнить меня. Есле вкратце, то пользователю выдаются cookie с токеном, который сформирован методом:
$bytes = random_bytes(rand(150, 267));
$token = bin2hex($bytes);
Сохраняем его в базу данных и выдаём пользователю. При последующей идентификации сверяется токен и пользователь авторизован.
Вопрос такой, возможно ли методом перебора комбинаций несанкционированно авторизоваться на сайте? Может лучше идентифицировать пользователя по двум параметрам: например его id в базе данных и сформированному токену?
  • Вопрос задан
  • 315 просмотров
Подписаться 2 Средний 5 комментариев
Пригласить эксперта
Ответы на вопрос 1
Stalker_RED
@Stalker_RED
Вы уж там определитесь, вам безопасность или "запомнить".

Если вы не банк, то в 99% случаев достаточно обычной сессии + какая-нибудь защита от брутфорса, хоть fail2ban.

Чем ваш дополнительный токен отличается от идентификатора сессии?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы