Можно ли хранить статус авторизации в сессии?

@Pashtets · Регистрация: 30.12.2016

Студворк — интернет-сервис помощи студентам

Здравствуйте, подскажите пожалуйста правильно ли я делаю и если нет как правильно?

И так регистрация. После проверки данных создается хэш пароля который хранится в бд, сам хэш создаю с помощью функции password_hash($password, PASSWORD_BCRYPT);

Авторизация - введенный пароль сравнивается с хэшем и если совпадают то записываю в сессионную переменную, например - $_SESSION['admin'] = true. Во всех файлах где нужно обеспечить запароленный доступ, прописываю инструкции:

if($_SESSION['admin'] !== true){

      header("Location: login.php");

}

Так вот вопрос состоит в том правильно ли хранить статус авторизации в сессии? В моем случае это $_SESSION['admin'] = true.

Может ли пользователь получить доступ к сессионному файлу и там прописать те же переменные?
И еще вопрос как стоит проверять пользователя во время сессии? Может быть как-то сравнивать ip адрес в начале авторизации и во время пользования админкой?

@Para bellum · 02.03.2018, 10:43

Сообщение от Pashtets

правильно ли хранить статус авторизации в сессии?

Отвечу так: допустимо. Было бы лучше, если были бы middleware, система авторизации.
Файл сессии можно изменить, только если имеется доступ к серверу.

@Pashtets · 05.03.2018, 19:43 **[ТС]**

Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина.
По дефолту в настройках сервера стоит время жизни сессионной куки 0, а сессионного файла 1440 секунда, да мы можем повлиять и установить больше срок жизни, но не хотелось бы так делать... Сейчас если закрываешь браузер то приходится вводить логин и пароль по новой.

Можно ли каким-то образом реализовать кнопочку "запомнить меня" к примеру на месяц?

Добавлено через 1 час 51 минуту
Может быть кто-то поделится опытом?

@useruser · 06.03.2018, 10:14

Сообщение от Pashtets

Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина.

Ну вот.
Используйте куки.
Вас интересует безопасность? Ок. Упрощенно.
При регистрации имя пользователя и md5(пароль) (хеш) заносятся в базу. Можно и PASSWORD_BCRYPT, да как угодно.
При входе пользователь вводит логин и пароль - вы из его парлся получаете хеш. Далее ищите запись с логином и хешем в бд.
Нашли? - пишите в БД в строке этого пользователя случайную строку (поле токен)- токен. Пример
user userpass AsdfgfgMMdfdf5db
Ставите куку пользователю с этим токеном.
При обращении к любой странице берете у него куку - ищите в БД этот токен. Нашли - значит пользователь прошел авторизацию и зареган. нет - на страницу регистрации.
Выход - просто удалите токен.

Просто, безопасно, удобно.

@Pashtets · 06.03.2018, 13:28 **[ТС]**

useruser,
да спасибо примерно так и сделал, только

Сообщение от useruser

Ставите куку пользователю с этим токеном.
При обращении к любой странице берете у него куку - ищите в БД этот токен.

чтобы уменьшить нагрузку на бд, т.к. используется SQLite3, токен пишу в сессию, ну и только в том случае если токен сесси не совпадает с токеном куки, запрашивается токен из бд по этому пользователю и если разные значит пользователь не авторизирован.

Новые блоги и статьи Все статьи Все блоги /
Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .

@Pashtets 0 / 0 / 0 Регистрация: 30.12.2016 Сообщений: 77

	Можно ли хранить статус авторизации в сессии? 02.03.2018, 10:16. Показов 1305. Ответов 4 Метки нет (Все метки) Здравствуйте, подскажите пожалуйста правильно ли я делаю и если нет как правильно? И так регистрация. После проверки данных создается хэш пароля который хранится в бд, сам хэш создаю с помощью функции `password_hash($password, PASSWORD_BCRYPT)`; Авторизация - введенный пароль сравнивается с хэшем и если совпадают то записываю в сессионную переменную, например - `$_SESSION['admin'] = true`. Во всех файлах где нужно обеспечить запароленный доступ, прописываю инструкции: `if($_SESSION['admin'] !== true){ header("Location: login.php"); }` Так вот вопрос состоит в том правильно ли хранить статус авторизации в сессии? В моем случае это `$_SESSION['admin'] = true`. Может ли пользователь получить доступ к сессионному файлу и там прописать те же переменные? И еще вопрос как стоит проверять пользователя во время сессии? Может быть как-то сравнивать ip адрес в начале авторизации и во время пользования админкой? 0

@Pashtets 0 / 0 / 0 Регистрация: 30.12.2016 Сообщений: 77
	05.03.2018, 19:43 [ТС]
	Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина. По дефолту в настройках сервера стоит время жизни сессионной куки 0, а сессионного файла 1440 секунда, да мы можем повлиять и установить больше срок жизни, но не хотелось бы так делать... Сейчас если закрываешь браузер то приходится вводить логин и пароль по новой. Можно ли каким-то образом реализовать кнопочку "запомнить меня" к примеру на месяц? Добавлено через 1 час 51 минуту Может быть кто-то поделится опытом? 0

Опции темы