Вы можете сохранить какой-то токен в куки после аутентификации и управлять атрибутами сеанса самостоятельно.Например, иметь таблицу базы данных, первичный ключ которой является токеном аутентификации, и хранит данные сеанса пользователя ... Не забудьте реализовать задание для очистки неактивных "сеансов".
Что касается того, о чем вы должны знатьимейте в виду, что куки - это что-то простое для доступа, кражи, удаления, отключения и т. д. Токен аутентификации должен быть чем-то надежным и проверяемым (хешируйте комбинацию ip + browser + вращающуюся соль + некоторые другие вещи, которые вы можете проверить).
Также целесообразно разделить аутентификацию пользователей на два уровня.«Имеет ли cookie» и «только что проверил cookie» ... Допустим, что «имеет cookie» - это состояние, которое может находиться там в течение получаса (или, возможно, дольше), что позволяет пользователю перемещаться по сайту.Состояние «только что подтверждено» предназначено для важных операций и должно требовать, чтобы пользователь снова ввел свои учетные данные.Время ожидания для этого «только что подтвержденного состояния» не должно превышать пары минут.
Имейте в виду, что я предполагаю, что ваш сайт не содержит действительно конфиденциальных данных.В таких ситуациях я бы порекомендовал что-то вроде двусторонней аутентификации SSL с внешними токенами или картами безопасности плюс вращающиеся токен-устройства плюс биометрическая аутентификация: D: D: D ... Я думаю, вы понимаете мою точку зрения.
Ура,