Я очень, очень плохо разбираюсь в вопросах безопасности при создании веб-сайтов - я хочу сохранить информацию, которую пользователь вводит для входа в cookie, чтобы я мог сделать две вещи:
- Проверьте cookie с флэш-памяти (через php-файл), чтобы получить информацию о вошедшем в систему пользователе (если вообще). Это будет использоваться для высокоуровневых API и т. Д.
- Автоматический вход пользователя, когда он возвращается на мой сайт.
Сам сайт на самом деле не имеет никакой важной информации и т. Д., Поэтому я имею в виду, что он не является самой безопасной вещью на земле (или даже близко). Но я бы хотел, чтобы это не было подделано, если это возможно.
Насколько я понимаю, хранение информации о пользователях в cookie может быть плохим, потому что пользователь может просто изменить cookie и войти в систему как кто-то еще.
Я думал; Насколько безопасно делать что-то подобное ?:
- Когда пользователь входит в систему, сохраните версию его адреса электронной почты в формате MD5 (используется для входа в систему). Таким образом, по крайней мере, крайне маловероятно, что они смогут изменить информацию, чтобы отразить другого пользователя в базе данных.
- Поскольку кто-то может просто указать MD5 адрес электронной почты, который, как он знает, кто-то другой использует для сайта, и изменить свой файл cookie, чтобы отразить это, следует ли мне хранить пароль MD5 рядом с ним, а затем использовать его для попытки входа на каждую страницу. ? Единственное, что кажется, что это будет медленным / нестратегическим, потому что нужно в основном повторно входить в систему с информацией в куки на каждой странице.
Этот подход, вероятно, кажется действительно странным, но будет ли он работать нормально? Основное требование, которое у меня есть, заключается в том, что если пользователь вошел на мой сайт, играющие в мои флеш-игры в любом месте Интернета автоматически обнаружат, что они вошли в систему, и будут работать со своей информацией.