Хорошая информация о добавлении логина (сессии) на мой сайт

Question

У меня никогда раньше не было никакой аутентификации пользователя на моем сайте.Тем не менее, я сейчас создал (или нахожусь в процессе создания) веб-сайт, который зависит от него.Я читал, что есть куки против сессий, и общее мнение, что сессии более безопасны - так что я думаю о том, чтобы идти по этому пути.В этой работе я ищу отличное руководство для начинающих по безопасной настройке.Под этим я подразумеваю пошаговое руководство по настройке и запуску на своем сайте.

Answer 1

Сеансы более безопасны в том смысле, что на стороне клиента хранится только токен, а не сами данные, как в случае cookie.Следовательно, с файлами cookie можно легко обращаться, и им следует доверять только так, как вы доверяете данным POST или GET.Однако вы можете сделать то же самое с файлом cookie вручную.

Обычно я сохраняю случайный токен, который соответствует записи базы данных в файле cookie.

Например, когдапользователь входит в систему, генерируется случайный токен.Этот токен вставляется в базу данных вместе с идентификатором пользователя и другой информацией, которую вы хотите сохранить вместе с cookie.Тогда единственное, что хранится в самом файле cookie, - это случайный токен.

Когда вы хотите получить доступ к файлу cookie, вы просто просматриваете токен в базе данных.

Answer 2

Ну, по сути, вы храните все свои конфиденциальные данные в сеансе PHP (например, тот факт, что пользователь фактически вошел в систему или у него есть некоторые особые привилегии), и сохраните идентификатор сеанса в файле cookie.,Но это часто обрабатывается автоматически самим PHP.

Так что вам просто нужно аутентифицировать пользователя, сохранить информацию о нем в сеансе и показать сообщение об успехе.

В следующий раз, когда ваш пользовательсобирается посетить вашу страницу, вам просто нужно проверить, есть ли у него уже сеанс или нет.Чтобы выйти из него, вы просто уничтожаете его сеанс.

Сеансы действительно просты в использовании.Говорят, что они более безопасны, потому что пользователь не может получить доступ к своим данным сеанса, в то время как он может изменять свои собственные куки.