Как настроить автоматический вход в личный кабинет на сайт?

Question

[Асиков Артур]

Подскажите, как реализовать автоматический вход в личный кабинет на сайте?
Буду очень благодарен за примерный план действий)

Что лучше сохранять (хешировать) в cookie браузера? Логин, пароль, id пользователя?

Answer 1

[alexalexes]

В качестве ключа для автоматического входа нужно использовать идентификатор открытой сессии.
Ни в коем случае не хранить пароль.
Нежелательно светить логин и id, по которому авторизовывались.
Идеально, держать подальше идентификатор сессии от JS скрипта, сделать куку только http only и позволить проверять ее только серверу.

Comments

[Асиков Артур]

Спасибо больше за ответ!
то есть идентификатор сессии будет длительное время храниться в браузере, закрепляясь за каждым пользователем?

[alexalexes]

Да. Время жизни куки сессии авторизации можно установить такую же, какое макс. время жизни самой сессии авторизации.
При обращении пользователя к серверу, на сервере проверяется, есть ли эта кука, по куке сессии из базы данных определяется, жива ли сессия, и к какому пользователю она принадлежит. Если все актуально, то достаются из базы все необходимые параметры пользователя для поддержания авторизованного состояния.
Если сессия просрочена, или вообще закрыта из другого устройства. То до свидания, уничтожаем куку, авторизованное состояние не восстанавливаем, шлем пользователя на авторизацию.