разработка авторизации на сайте

189

13 апреля 2017, 15:58

Делаю авторизацию на учебном сайте. Надо, чтобы пользователь оставался в сети пока не нажмет на кнопку "выход".

Для этого при авторизации пользователя, я сохраняю его id в куке, а при нажатии на "выход" удаляю эту куку.

Мне подсказали, что так делать не хорошо. Если в ручную поменять значение id в куке на другую, мы зайдем на профиль другого пользователя.

Как это лучше реализовать?

Есть идея: сохранять в куке id не в чистом виде, а шифровать его (например с помощью md5).

Answer 1

Вы используете куки или всё таки сессии?

При объявлении сессии генерируется идентификатор и записывается в куки и по нему подымается сессия. Ничто не может гарантировать, что кто-то сможет "увести" Ваш идентификатор и использовать его. Лучше применять дополнительные меры защиты это привязка к ip-адресу и к User-Agent. Но в любом случае это не 100% гарантия.

Что обязательно нужно посоветовать это SSL (https) на сайте.