Авторизация на секретных куках, это плохая практика в моем случае?
Доброго времени суток. Появилась необходимость сделать простой кабинет пользователя.
Примерное кол-во 100-200 в день. Так ли плохо проверить логин и пароль и дать секретную, не изменяемую куку? Что бы пользователь с ее наличием имел доступ в кабинет, а без не имел. Внутри например хранить хэш логина. Что бы по нему выдавать данные в кабинете.
Иногда видел, так делают во Flask.
Не вижу смысла тянуть тяжелое решение, для простой задачи.
Если это не плохо?
В целом, это неплохо с некоторыми оговорками:
1. Нельзя отозвать сессии
2. Нельзя хранить там что-то изменяющееся и критичное, т.к. все предыдущие куки, которые ты выдал, будут валидными, даже если ты выдал новую
3. Потеря секрета = возможность хакеру выдать себе любую сессию
