Di21H
@Di21H
Обычный человек

Как сохранить авторизацию в сессиях?

Смотрю гайды по созданию формы авторизации везде после успешной проверки логина/пароля в сессиях сохраняют только айди пользователя. Таким образом я в личном кабинете могу по айди из сессий получить данные. А если подменить эту сессию? То я могу получить доступ к данным другого пользователя. Как это правильно делается? Нужно в сессиях сохранять хеш пароля и логин и каждый раз проверять его?
  • Вопрос задан
  • 137 просмотров
Пригласить эксперта
Ответы на вопрос 3
Kulaxyz
@Kulaxyz
Могу лучше
У пользователя есть доступ только к куки, сессия исключительно на серверной стороне, поэтому её подменить не получится, а вот в куки как раз таки и хранятся логин и хэш пароля
Ответ написан
aleksejjjj
@aleksejjjj
В куках достаточно хранить только ID сессии. Собственно PHP делает это за вас автоматически. В сессии достаточно хранить только ID пользователя. Она на серверной стороне и подменить её не выйдет. Никаких хешей пароля вам в ней точно не нужно.
Ответ написан
anton_reut
@anton_reut
Начинающий веб-разработчик
Сессию ты не подменишь потому что угадать id сессии вида: asbkuabfanbvuwefu32832gb3hbfb32b9ffb - очень не легко.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
SaveTime Москва
от 100 000 руб.
Vigrom Москва
До 150 000 руб.
Teamlead Ставрополь
от 25 000 до 50 000 руб.
14 нояб. 2019, в 10:48
50000 руб./за проект
14 нояб. 2019, в 10:45
2500 руб./за проект