Количество пользователей под 1 учетной записью

Добрый день!
Прошу заранее если подобные темы уже были и не кидаться камнями, я только начал читать книгу PHP 7 в подлиннике. Дмитрий Котеров" и учить php)
Написал простой сайт. Добавил авторизацию.
Раньше делал при авторизации записывал id пользователя в сессию и собственно везде проверял. Сейчас прочитал что данные о пользователе вообще лучше не хранить.
Также при такой авторизации под одной учетной записью могут сидеть хоть 5 человек.
Решил исправить данную ситуацию.

Сейчас при авторизации создаю ключ через bin2hex(random_bytes(125) далее записываю в отдельную таблицу его и id пользователя и также записываю в сессию ключ и id.

Потом при проверке к примеру переход на страницу делаю запрос в бд где получаю последний созданный ключ фильтруя по id_user и сверяю с ключом в сессии. Если все успешно то делаю действие иначе разлогиниваю пользователя.

И так по всем действиям.

Тут я решил следующую проблему. Если кто то пытается зайти под логином и паролем с другого пк, то первого при любом действие уже разлогинет, так как ключ уже новый.

Вроде норм.

Но тут я прочитал что можно взять подсмотреть сессию в браузере и подставить к себе, тогда спокойно зайдешь на сайт и у меня снова 2 пользователя под 1 учетной записью.

Думаю дальше, а если при каждом действие перезаписывать ключ в бд и сессию?
Тогда должно разлогинить.

Собственно как лучше построить проверку чтобы под учетной записью мог сидеть только 1 пользователь.

Можно без примеров просто на словах.
Вроде корректно объяснил.

0

Сообщение от offline54 bin2hex(random_bytes(125) далее записываю в отдельную таблицу его и id пользователя и также записываю в сессию ключ и id.

Не понятно что у клиента проверяется, кроме SID...
Если например кроме стандартного $_COOKIE['PHPSESSID'], Вы на клиент сохраняете ещё $_COOKIE['KEY'],
чтобы сравнивать с хранящимся в файле сессии на сервере...
То как бы есть какой-то смысл, так как кроме PHPSESSID , будет проверяться ещё посылается ли ключ...

и как-бы уже недостаточно кражи одного только PHPSESSID
но если можно украсть Cookies, то можно украсть их сразу все
типа это только защита от случайного совпадения PHPSESSID, или полученного путём перебора, но не от кражи.
про перебор наверное загнул )) но совпадения при стечении обстоятельств возможны

Хранение в сессии например ещё $_SERVER['REMOTE_ADDR'], или если "данные о пользователе вообще лучше не хранить"
хранение хэша этого значения, уже как-то лучше, за исключением того что юзер выпал из сети, зашёл снова,
провайдер присвоил ему новый IP, и придётся снова увидеть форму ввода пароля.
Что так-же бывает если время жизни сессии на сервере не велико, и залогиненый клиент не проявлял активность чуть дольше.

Или если вы с помощью похожего $_COOKIE['KEY'], даёте возможность автоматического входа, типа как чекбокс "запомнить надолго"
пользователю автоматом заводться новая сессия, как залогиненому... даже возможно без дополнительных проверок,
типа обновился-ли USER_AGENT у браузера, или назначил-ли провайдер новый IP.
Многим так удобнее можно даже перегенерировать ключи при новом автовходе без сессии

Кража кукисов подразумевает что или на сайте есть уязвимости , допускающие применение xss-инъекций,
или тупо позагружаются левый javascript, с других ресурсов, неизвестного содержания...
или система взломана, и браузеры дано работают как часть одного большого ботнета и всё что можно давно уже складируется в датацентрах злоумышленников

Добавлено через 8 минут
и ещё

An HttpOnly cookie means that it's not available to scripting languages like JavaScript. So in JavaScript, there's absolutely no API available to get/set the HttpOnly attribute of the cookie, as that would otherwise defeat the meaning of HttpOnly .

Но это не значит что в сети не может быть кражи заголовков запроса/ответа ))

Добавлено через 34 минуты

Сообщение от offline54 Количество пользователей под 1 учетной записью

Забыл о самой теме
Просто мне непонятно почему Вы думаете что количество пользователей и количество залогиненых клиентов
это одно и то-же количество .... Я например иногда с нескольких браузеров мог что-то просматривать, типа для сравненния )

0

x_lab, у меня как раз сохраняется ключ и id еще (хочу вместо id создать также случайное сочетание).
Посторонних скриптов у меня нет и не будет (по крайней мере пока что, все пока пишу на php , так как изучаю его).
А про количество пользователей - у меня по смыслу сайта должен под одну учетную запись заходить и сидеть только 1 человек.
Вообщем понял суть ваших мыслей и они чем то схожи с моими. Большое спасибо!

0