Логика авторизации JohnCMS

# Delphinum (25.12.2016 / 02:03)
ID юзера может быть заменен в куки, и тогда заменивший его юзер получит доступ к учетке, ID которой он укажет в своей куки.

AlkatraZ, вполне достаточно токена, я согласен, а по токену будет сессия, а в сессии ид юзера. А зачем еще и пароль в куке? )

Короче, очередной спор глухого со слепым, к тому же бессмысленный по сути.
Толку что там будет айди в куке или не будет, будет ли оно в сессии и нет, всё не имеет смысла вообще.

Delphinum, ты написал про ид в куке, я написал про защиту подмены ида в куке, у Олега там нет ни пароля ни ид, есть токен

# Delphinum (25.12.2016 / 02:06)
AlkatraZ, вполне достаточно токена, я согласен, а по токену будет сессия, а в сессии ид юзера. А зачем еще и пароль в куке? )

Koenig, в первом сообщении темы говориться, что вы храните токен и пароль в куках и в сессии.

# Delphinum (25.12.2016 / 02:05)
Koenig, ну так если у вас уже токен в куки, зачем вам еще и пароль там же? ))

"Объясните кому не лень для меня логику авторизации, зачем пишется ид с паролем и в сессию и в куки?"

Delphinum, в старых версиях джона было примерно так, в куке хранился ид и "пароль" для востановления сессии

# Delphinum (25.12.2016 / 02:09)
Koenig, в первом сообщении темы говориться, что вы храните токен и пароль в куках и в сессии.