СП
при чем тут пароль-то?
Size: a a a
2021 January 05
СШ
Да блин, с телефона расписывать долго
СШ
Кука хранит сессию. Сессия хранит что то о пользаке. Правильно?
СП
Кука хранит сессию. Сессия хранит что то о пользаке. Правильно?
нет, я про другоё... функция "Запомнить меня", когда при логине на сайте пишется кука с хэшем. И если человек через месяц зайдёт из этого браузера, то я его авторизую по этой куке
RT
Если взть куку авторизации и прописать в другом браузере - да, будет авторизован.
СШ
Хеш куки это идентификатор сессии?
СШ
В сессии хранятся данные пользователя?
СШ
У каждого пользователя все идентично?
А
Если из браузера уведут куку, то это уже проблема не сайта
СШ
Взять чужую сессию не означает что все проверки пройдут
RT
Если из браузера уведут куку, то это уже проблема не сайта
+1
А
Кука на сессию должна быть секюрной и httpOnly
RT
Oauth так же работает - уведут токен, значит авторизованы. Где этот токен хранит клиент - его проблемы.
СП
Хеш куки это идентификатор сессии?
нет, это отдельная строка, по которой можно пользователя авторизовать
RT
Самое секьюрное со всеми эти токенами, куками - делать им минимальное время жизни
RT
но это неудобство для клиента(пользователя)
СШ
Ну а что мешает сделать доп параметры в сессии и сравнивать их с текущим челом ?
СП
Самое секьюрное со всеми эти токенами, куками - делать им минимальное время жизни
Да, тут получается искать компромис
СП
Ну а что мешает сделать доп параметры в сессии и сравнивать их с текущим челом ?
Сессии тут вообще ни при чём. Её не будет тогда, когда тебе надо будет авторизовать по куки
СШ
Если сессии нет, значит авторизация заново.