После изучения способов создания защищенной формы входа в систему с функцией «запомнить меня» я столкнулся с множеством противоречивых взглядов на то, как сделать это безопасным. Система входа в систему, которую я хочу создать, не нуждается в высокой безопасности, но я бы хотел выбрать хороший безопасный и простой метод, и у меня есть два вопроса.Защита файлов cookie и сеансов PHP для учетных записей пользователей
Что нужно хранить в переменных сеанса, чтобы проверить, что пользователь вошел в систему, это просто имя пользователя (или идентификатор). Если это просто имя пользователя, что происходит в том случае, если пользователь обнаружил, что его учетная запись была скомпрометирована, и вы хотите изменить пароль, чтобы остановить вредоносного пользователя во время его учетной записи? Если у злонамеренного пользователя есть сеанс, даже если пароль изменен, он может продолжать быть злым до истечения срока их сеанса, этого можно избежать - может быть, аннулировать все сеансы с этим именем пользователя при смене пароля?
Сохраняет ли пароль (повторно зашифрованный солью, используемой только для файлов cookie) и имя пользователя в (HttpOnly) cookie, достаточно приличный способ иметь функцию «запомнить меня»? Я слышал, как в базе данных хранится имя пользователя и случайно сгенерированный ключ, и это также помещается в файл cookie пользователя. Затем, когда происходит действие пользователя, старый ключ заменяется на новый и передается в файл cookie пользователя. Достаточен ли этот тип безопасности для файлов cookie или будет достаточно обычного метода шифрования паролей?
Я думаю, что попробую этот метод. – Timm