Логика авторизации JohnCMS

Delphinum, если я тебя правильно понял, то ты устанавливаешь куку заголовком Set-Cookie, но потом НЕ используешь эту куку в скрипте?

ДоХтор, ты конкретно про мое решение с телефонами?

# Delphinum (25.12.2016 / 00:36)
ДоХтор, ты конкретно про мое решение с телефонами?

Да )

ДоХтор, понимаешь задача изначально была такая:
1. Нужно написать сервер с админкой для заполнения данных экскурсий и предоставления API Web-приложению, которое ставится на телефон (Android и iOS)
2. Каждый пользователь, который установит себе приложение должен при первом входе в него получить от сервера какой то идентификатор, я решил что это будет SSID
3. Изначально планировалось что будет использован один механизм идентификации для приложений и сайта

Но в результате оказалось, что сайт будет написан отдельно от админки и API, а я уже написал логику сессии. Потому я сделал просто - сказал мобильщикам: вы от меня будете получать Set-Cookie заголовок, а в нем SSID код. При каждом последующем обращении к API передавайте мне этот SSID код в заголовке X-Auth-Token. Почему так? Потому что мобильщики не хотели передавать мне этот код в заголовке Cookie, только и всего.

P.S. Все это работает не в браузере, а в мобильном приложении, потому там нет куков.

# Delphinum (25.12.2016 / 00:11)
я не использую куки, я использую заголовок Set-Cookie, а это не одно и то же. Вообще изначально предполагалось, что у нас будет на одной платформе и мобилка и веб сайт, потому я решил использовать ста

Че то ты путаешь,
Я вот сейчас попытался асилить вышеуказанные посты, но че то взорвался мозг.
---
Теоретически, есть 2 механизма поддержания сессий: с помощью Кукисов и с помощью GET/POST запросов. Из последних GET не рассматриваем, ибо старо как мамонт (использовалось еще со времен старых быдло-Бодр-чатов), имеет дыру в безопасности и не рекомендуется к применению.

А фраза "я не использую куки, я использую заголовок Set-Cookie" меня вообще убила.

Так что же ты используешь?
Если я к примеру выключил и опять запустил браузер (таймаут не прошел). Ты для меня будешь создавать новую сессию?

вангую холивар

# Crack (25.12.2016 / 00:53)
вангую холивар

Не, тут скорее всего просто недопонимание, возможно говолрим об одном и том же, но называем по разному.

AlkatraZ, я так понял, что есть сервер и есть приложения которые общаются через апи, при первом обращении через приложение( не арбуз) приложение получает заголовок сет кука и его сохраняет локально на аппарате, и в последующих запросах передает (наверное через пост заголовок х-аус)

AlkatraZ, ну в моем понимании куки это не заголовок, а конкретный механизм браузеров, основанный на куки-файлах. Я в том решении не использую куки, потому что клиент не браузер и у него нет куки-файлов, но в остальном логика аналогична куки.

Koenig, да, так. Только не пост заголовок, а вместе с любым запросом, в том числе и гет, пут, делет.