xmoonlight, и моя проверка это лишь дополнительная проверка была, через мой токен невозможно авторизироваться, потому что при каждом запросе к серверу (а чтобы его сделать нужно быть авторизированным иначе сервер отклонит его) я дополнительно проверял совпадает ли мой собственный токен с полем из базы у юзера. А токен меняется при смене пароля.
Если объясните как вы сможете авторизироваться толкьо по моему токену который никак не участвует в авторизации, то буду очень благодарен.
xmoonlight, Возможно я неверно выразился. Это не совсем токен, это просто уникальное поле в базе данных. Это не для API и всего такого, оно не используется для авторизации, а лишь выбрасывает авторизацию, если его вдруг нет в куках или не совпадает с тем что есть в базе.
xmoonlight, что значит дырка? Если нет токена в куках, то просто выкидывает из авторизации. Чтобы он там появился нужно заново авторизироваться, а для этого нужен пароль и логин от учётки)
Иван Шумов, ну например бывает такое не предвиденное: изменили логику отображения данных. И так получилось, что лишь у одного пользователя были специальные символы в полях, которые никто не ставил кроме этого пользователя.
И эту проблему нашли именно у этого пользователя, когда в ручную случайно проверили его аккаунт.
Как с таким быть? Ждать пока юзер сам скажет, что у вас всё дерьмово работет?
Иван Шумов, Это тоже не правда. Я читал, что все тестят на реальной базе рядом с продакшеном. Если всё ок, то переводят с помощью nginx (как вариант) на новую версию проекта.