НИКОГДА не храните хешированные пароли в куки! Получить настоящий пароль очень просто, когда хэш-код взломщика получен. Современные системы входа в систему сохраняют только временный (!) Хэш случайной строки, которая генерируется именно для этого пользователя.
у знать процесс, которым обычно следуют веб-приложения для поддержания входа между несколькими запросами, а также как они управляют вещами, используя COOKIES.
В форме входа в систему я предоставляю функцию «Запомнить меня».
При входе пользователя в систему я проверяю правильность имени пользователя и пароля из базы данных. Если он действителен, тогда я проверяю, выбран ли «Запомнить меня», если да, то сохраняя имя пользователя и пароль в сеансе в зашифрованном формате. И, наконец, сохранение имени пользователя и пароля в СЕССИИ.
Когда пользователь переходит с одной страницы на другую, сначала я запускаю скрипт проверки входа, который проверяет, есть ли какое-либо значение в куки, затем проверяет это имя пользователя и пароль из базы данных, чтобы проверить их действительность. Если в cookie нет значения, а в сеансе есть какое-то значение, я извлекаю значение сеанса, а не проверяю его из БД.
Я не проверяю сессионное значение формы db, чтобы не нажимать на db без необходимости, ускорить процесс. В случае файлов cookie они могут быть изменены, поэтому проверка необходима.
Это то, что моя концепция, правильно? Это способ пойти и обычно сайт, как SO, и другие работы на этот вид метода?
Или веб-сайты проверяют подлинность входа в систему при каждой загрузке страницы, независимо от того, находится ли она в сеансе или в файлах cookie?
Пожалуйста, проверьте и выскажите свои мысли и концепции для этого сценария.
Спасибо!