Я создаю PHP API поверх существующего кода и, чтобы сэкономить время, я хочу продолжать использовать сеансы PHP.Однако вместо использования файлов cookie я хотел бы отключить файлы cookie сеанса и отправить идентификатор сеанса в настраиваемом заголовке, поскольку некоторые клиенты не являются веб-браузерами.Пример начального запроса клиента (после прохождения аутентификации):
// session cookies are disabled
session_start();
$id = session_id(); // xyz
// set session vars
header('MyAppSessId: ' . $id); // respond with sess ID
Затем клиенты будут отправлять запросы, используя заголовок запроса:
MyAppSessId: xyz
Затем я выполняю аутентификацию, используя:
$id = getCustomHeader('MyAppSessId'); // xyz
session_id($id);
session_start();
// if session doesn't exist, return 401, or:
header('MyAppSessId: ' . $id); // resend sess ID
Есть ли проблемы с использованием этой стратегии?Есть вопросы безопасности?
Заранее спасибо.