# Delphinum (25.12.2016 / 01:59)Верно
AlkatraZ, смотри, ты сейчас делаешь так:
1. Генеришь токен
2. Пишешь его в куку юзеру
3. При повторном входе юзера получаешь от него токен
4. Ищешь токен в базе, если нашел, то юзер авторизован
Логика авторизации JohnCMS
5.48K
AlkatraZ
25 дек 2016 г., 2:00
╭∩╮ (`-`) ╭∩╮
L!MP
25 дек 2016 г., 2:00
# Delphinum (25.12.2016 / 01:50)Да ну. Айди юзера это публичная информация, ничего военного в ней нет.
L!MP, не, хранить id юзера в куке нельзя, это не безопасно
Ты наверное не так понял, я не имел ввиду что айди юзера является полноценной заменой айди сессии.
Понятно что нужно отправлять еще что-то или делать так как я описал выше, т.е генерировать уникальный токен и больше, корме него, с клиентом ничего не шэйрить.
А что будет этим токеном уже дело десятое, может быть и айди сессии (если это не противоречит архитектуре, смотри выше, про REST), оно как бы уже и так есть, и так уникальное и сложное для подбора.
Delphinum
25 дек 2016 г., 2:01
AlkatraZ, а сессия делает так:
1. При session_start генерится токен (SSID)
2. Пишется в куку юзера
3. При повторном входе юзера получается от него токен (SSID)
4. Ищется токен в хранилище сессии, если нашел, то юзер авторизован
Чуствуешь сходство? )
1. При session_start генерится токен (SSID)
2. Пишется в куку юзера
3. При повторном входе юзера получается от него токен (SSID)
4. Ищется токен в хранилище сессии, если нашел, то юзер авторизован
Чуствуешь сходство? )
Delphinum
25 дек 2016 г., 2:03
# L!MP (25.12.2016 / 02:00)ID юзера может быть заменен в куки, и тогда заменивший его юзер получит доступ к учетке, ID которой он укажет в своей куки.
Да ну. Айди юзера это публичная информация, ничего военного в ней нет.
Ты наверное не так понял, я не имел ввиду что айди юзера является полноценной заменой айди сессии.
Понятно что нужно отправлять
Koenig
25 дек 2016 г., 2:03
(\/)____o_O____(\/)
Delphinum, вот для этого и нужен еще и хэш пароля в куке )
AlkatraZ
25 дек 2016 г., 2:04
╭∩╮ (`-`) ╭∩╮
# Delphinum (25.12.2016 / 02:01)Это я знаю, но даже если я буду использовать в качестве токена Session ID, мне его надо будет писать в отдельную Куку. Сессионные использовать нельзя, ибо у них свое время жизни, которое может не совпадать с моими требованиями насчет времени "запомнить".
AlkatraZ, а сессия делает так:
1. При session_start генерится токен (SSID)
2. Пишется в куку юзера
3. При повторном входе юзера получается от него токен (SSID)
4. Ищется токен в хранилище сессии,
Delphinum
25 дек 2016 г., 2:04
Koenig, а не проще не использовать куки, а использовать сессию? Тогда юзер не сможет ничего заменить в данных, ибо у него есть только SSID.
Koenig
25 дек 2016 г., 2:05
(\/)____o_O____(\/)
Delphinum, но ssid в куке 
Delphinum
25 дек 2016 г., 2:05
# AlkatraZ (25.12.2016 / 02:04)Что значит "писать в отдельную куку"? Тебе ничего писать не надо, session_start сама отправляет Set-Cookie если нужно.
Это я знаю, но даже если я буду использовать в качестве токена Session ID, мне его надо будет писать в отдельную Куку. Сессионные использовать нельзя, ибо у них свое время жизни, которое может не совп
"Сессионные использовать нельзя" - сессионные что?
Delphinum
25 дек 2016 г., 2:05
Koenig, ну так если у вас уже токен в куки, зачем вам еще и пароль там же? ))
Всего: 185
© 2024, JohnCMS