Как правильно реализуется аутефикация?

Question

[Creed1234]

Пробую реализовать аунтефикацию с функцией remember me и без.

Реализую без стандартного Auth::attempt($credentials, $remember)

Логика такая, если пользователь потавил галочку remember me, создаю куку на время и записываю ее в бд хэшируя.
Каждый раз при роутах, через middleware проверяю идентичность куки и хэша записи бд.
Если все ок, пропускаю.

Если пользователь не ставит remember me, как обходить middleware на проверку наличия куки?

Если дополнительным условием в middleware написать проверку авторизован ли пользователь

if (Auth::check()) {
return $next($request);
}

После закрытия вкладки и нового открытия авторизация живет вместе с сессией. Если включить удаление сессии при закрытие вкладки - перестанет работать функция remember me через куку, потому что она тоже удалиться.

Направьте, куда думать

Comments

[Дмитрий Кузнецов]

Зачем писать велосипед, если он уже изобретён и он болид. (ну типо сравнение вашего велосипеда и гоночного болида по скорости и качеству)

[Creed1234]

Болид не отвечает запросу. Бензина кушает много xD

[Дмитрий Кузнецов]

Creed1234, с чего вы взяли, что много кушает бензина?

[Creed1234]

Это шутка юмора.

Изобретенный болид, работая на chrome, сохраняет текущего пользователя и с remember me и без. И при повторном открытии аутефицирует в любом случае.

[Дмитрий Кузнецов]

Creed1234, я просто не понимаю зачем вам делать это через куки? Это же не безопасно. А вдруг у пользователя своруют куки и вставят к себе в браузер? Тогда кто-то левый получит доступ.
Сессия же хранится на стороне сервера и считается безопасной.

[FanatPHP]

Дмитрий Кузнецов, если сессия "хранится на сервере", то как тогда вообще сервер узнает - какой именно браузер обратился?

[Дмитрий Кузнецов]

FanatPHP, я имел ввиду про php-шную реализацию сессий. Есть 2 вида сессии - со стороны сервера и со стороны клиента.

[FanatPHP]

Дмитрий Кузнецов, хорошо, пусть будет php-шная реализация сессий о стороны сервера
как при этом сервер узнает - какой именно браузер обратился?

что такое вообще эта "сессия"? попробуй сформулировать в простых терминах. из чего она состоит

Answer 1

[Евгений Старцев]

Каждый раз при роутах, через middleware проверяю идентичность куки и хэша записи бд.
Если все ок, пропускаю.

эмм, не совсем корректное решение
кука должна только сообщить серверу что пользователь был авторизован и его нужно заново авторизовать если сессия закончилась... (браузер закрыли)

логика должна быть такая - пользователь вводит логин и пароль, выбирает галочку "запомнить"
сервер создает сессию на этого пользователя и создает куку
пользователь покинул сайт (закрыл вкладку/браузер), потом вернулся - сервер смотрит:
- авторизован?
если нет - может кука есть?
кука есть - авторизуем - то есть создаем новую сессию
а если и куки нет или уже закончилась по времени - тогда пусть по новой авторизуется