@vareted

PHP, безопасность, авторизация. Вопрос?

пишу авторизацию для сайта на php. Возник вопрос по поводу безопасности при реализации функции "запомнить меня. Есле вкратце, то пользователю выдаются cookie с токеном, который сформирован методом:
$bytes = random_bytes(rand(150, 267));
$token = bin2hex($bytes);
Сохраняем его в базу данных и выдаём пользователю. При последующей идентификации сверяется токен и пользователь авторизован.
Вопрос такой, возможно ли методом перебора комбинаций несанкционированно авторизоваться на сайте? Может лучше идентифицировать пользователя по двум параметрам: например его id в базе данных и сформированному токену?
  • Вопрос задан
  • 284 просмотра
Пригласить эксперта
Ответы на вопрос 1
Stalker_RED
@Stalker_RED
Вы уж там определитесь, вам безопасность или "запомнить".

Если вы не банк, то в 99% случаев достаточно обычной сессии + какая-нибудь защита от брутфорса, хоть fail2ban.

Чем ваш дополнительный токен отличается от идентификатора сессии?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Директ Кредит Казань
от 70 000 до 120 000 ₽
Технология Тюмень
от 50 000 до 130 000 ₽
Drom.ru Владивосток
от 100 000 до 150 000 ₽