хорош этот подход к управлению сеансом / аутентификации?

Question

Когда пользователь регистрируется в произвольном идентификаторе сеанса, он генерируется и сохраняется в строке таблицы базы данных, а также в переменной сеанса. Перед доступом к любой аутентифицированной части сайта необходимо проверить, совпадает ли идентификатор сеанса, сохраненный в переменной сеанса, с идентификатором в строке таблицы пользователя.
Мой вопрос заключается в том, что безопаснее, чем просто установить логический флаг в переменной сеанса?

Спасибо

Answer 1

Это немного безопаснее.Теперь злоумышленник должен иметь возможность прочитать некоторую часть ваших сообщений с клиентом (скажем, сидя за пределами своего офиса с помощью сниффера WiFi, или за соседним столом в Mc Donald's, или рядом с ними в автобусе).1001 *

Это все еще не очень хорошая идея, хотя.Google «Replay Attack», для начала ...