Авторизация на секретных куках, это плохая практика в моем случае?

Question

[Refiru]

Доброго времени суток. Появилась необходимость сделать простой кабинет пользователя.
Примерное кол-во 100-200 в день. Так ли плохо проверить логин и пароль и дать секретную, не изменяемую куку? Что бы пользователь с ее наличием имел доступ в кабинет, а без не имел. Внутри например хранить хэш логина. Что бы по нему выдавать данные в кабинете.
Иногда видел, так делают во Flask.
Не вижу смысла тянуть тяжелое решение, для простой задачи.
Если это не плохо?

Answer 1

[Roman K]

В целом, это неплохо с некоторыми оговорками:
1. Нельзя отозвать сессии
2. Нельзя хранить там что-то изменяющееся и критичное, т.к. все предыдущие куки, которые ты выдал, будут валидными, даже если ты выдал новую
3. Потеря секрета = возможность хакеру выдать себе любую сессию

Answer 2

[Griboks]

С таким же успехом можете сделать параметр запроса ...?password=123
С куками любой сайт украдёт данные авторизации.