Авторизация с использованием куки

@Step01 · Регистрация: 27.01.2018

Студворк — интернет-сервис помощи студентам

Как правильно делать авторизацию на сайте с помощью куки? Очевидно, что просто записывать в куки id пользователя нельзя. Можно сохранять специальный пароль. Но тогда придётся на каждой странице сравнивать пароль с хешированой строкой из базы данных. А это нагрузка на сервер, ведь хеширование производится долго. Получается, нужно один раз авторизацию делать и записывать данные в сессию? Или как это делается?

@Jodah · 01.11.2018, 21:13

Генерируете длинную рандомную строку и записываете её в куки и базу. И сравниваете их при заходе на каждую страницу.

Ну и id юзера тоже записываете и сравниваете, чтобы перед записью рандомной строки в базу не нужно было проверять её на уникальность.

@Step01 · 01.11.2018, 21:18 **[ТС]**

Если строка не хеширована, то способ ненадёжный. Когда на сайте пользователи держат персональные данные так нельзя делать

@Jodah · 01.11.2018, 21:25

Сообщение от Step01

Если строка не хеширована, то способ ненадёжный.

Чем? Зачем вам именно хэш в куках?

Сообщение от Step01

Когда на сайте пользователи держат персональные данные так нельзя делать

Почему?

@Step01 · 01.11.2018, 21:29 **[ТС]**

Сообщение от Jodah

хэш в куках?

Хеш не в куках, а в БД

Сообщение от Jodah

Почему?

Это элементарные меры безопасности

@Jodah · 01.11.2018, 21:40

Сообщение от Step01

Хеш не в куках, а в БД

Хорошо. Зачем вам хешированная строка, чем она отличается от обычной?

Сообщение от Step01

Это элементарные меры безопасности

Ок, можете скинуть какую-нибудь ссылку в качестве подтверждения?

Добавлено через 6 минут

Сообщение от Step01

Получается, нужно один раз авторизацию делать и записывать данные в сессию?

При старте сессии юзеру отправляется кука с именем PHPSESSID. Поэтому этот вариант будет работать также, как предложенный мной, только больше лишних звеньев.

@Step01 · 01.11.2018, 21:40 **[ТС]**

Сообщение от Jodah

Ок, можете скинуть какую-нибудь ссылку в качестве подтверждения?

Ссылку на что? На взломанный сайт?
Тема создана не для того, чтобы обучать вас безопасности. В сети полно информации. Здесь задан конкретный вопрос

@Jodah · 01.11.2018, 21:50

Сообщение от Step01

Ссылку на что?

Вы же сказали, что это элементарные меры безопасности. Значит кто-то где-то в интернете должен был об этом написать и не раз. Я подобного никогда не встречал, поэтому и спрашиваю.

Сообщение от Step01

Тема создана не для того, чтобы обучать вас безопасности.

Разумеется, но форум на то и форум, чтобы вести дискуссии. Я предложил вариант, вы назвали его небезопасным и не пояснили причину, поэтому я и прошу какие-нибудь пруфы.

@estic · 02.11.2018, 12:30

Сообщение от Step01

Тема создана не для того, чтобы обучать вас безопасности. В сети полно информации. Здесь задан конкретный вопрос

Jodah в своем первом сообщении дал достаточно полный ответ на ваши вопросы.

@Para bellum · 02.11.2018, 13:04

Ответ Jodah верен. Автор темы вообще не понял, о чём речь.

@tarasalk · 02.11.2018, 13:35

На самом деле подобное хэширование действительно имеет место быть. БД могут угнать или какой-то сотрудник воспользуется доступом к БД в своих целях... в таком случае знание хэша само по себе ничего не даст.

Сообщение от Step01

А это нагрузка на сервер, ведь хеширование производится долго

С чего вы взяли что долго?

@Jodah · 02.11.2018, 13:44

Сообщение от tarasalk

БД могут угнать или какой-то сотрудник воспользуется доступом к БД в своих целях...

Если вы имеете ввиду хеширование пароля перед записью в базу - полностью согласен. Но что и зачем предлагает хешировать ТС, я так и не понял.

@tarasalk · 02.11.2018, 13:51

Jodah, я так понял речь про куку. Зная ее можно делать запросы от имени юзера без всяких паролей.

@Para bellum · 02.11.2018, 13:54

Сообщение от Jodah

Но что и зачем предлагает хешировать ТС, я так и не понял.

Ту строку хочет хешировать перед записью в БД, которую вы предложили генерировать. Чтобы кто-то не мог, взломав БД, подставить ту строку к себе в cookie и авторизоваться на сайте таким образом.

Я считаю, что хешировать её не нужно. Лучше шифровать содержимое cookie, например, как в Laravel. Тогда и сотрудник, упомянутый tarasalk'ом не сможет cookie подделать и любой другой злоумышленник.

@Step01 · 02.11.2018, 15:06 **[ТС]**

Сообщение от Jodah

что и зачем предлагает хешировать ТС, я так и не понял

Я ничего не предлагаю. Я спрашиваю, как делается авторизация с использованием куки. Предложили держать в базе данных незашифрованный пароль и записывать его в куки. Я спорить ни с кем не собираюсь, просто хочу найти другие идеи, а точнее способ, который обычно используется на реальных сайтах. Насчёт шифрования куки понял, но не уверен, что я смогу хорошо зашифровать. Хеширование надёжнее

@Para bellum · 02.11.2018, 15:11

Сообщение от Step01

Насчёт шифрования куки понял, но не уверен, что я смогу хорошо зашифровать.

openssl поможет.

@Step01 · 02.11.2018, 15:39 **[ТС]**

Насколько я понимаю, расшифровка имеет свою стоимость. Чем тогда это отличается от сравнения с хэшем? В любом случае, при переходе пользователя по страницам эту расшифровку придётся каждый раз делать. Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается

@Jodah · 02.11.2018, 18:12

Сообщение от Step01

Предложили держать в базе данных незашифрованный пароль и записывать его в куки.

Ни в коем случае, пароль хранится в БД в виде хеша, сгенерированного функцией password_hash и в куках не используется. А в куки (и базу тоже) отправляется длинная строка из случайных символов, никак не связанных с паролем.

@Para bellum · 02.11.2018, 19:15

Сообщение от Step01

Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается

Делают.

@Step01 · 02.11.2018, 20:04 **[ТС]**

Сообщение от Jodah

отправляется длинная строка из случайных символов

Я именно этот пароль имел в виду. Какой смысл хешировать один пароль, если есть другой незашифрованный. Если их украдут, то оба))

Сообщение от Para bellum

Делают.

Ясно, спасибо

Новые блоги и статьи Все статьи Все блоги /
Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .
Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .

Авторизация с использованием куки

Решение

Решение

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70

	Авторизация с использованием куки 01.11.2018, 20:55. Показов 5257. Ответов 41 Метки нет (Все метки) Как правильно делать авторизацию на сайте с помощью куки? Очевидно, что просто записывать в куки id пользователя нельзя. Можно сохранять специальный пароль. Но тогда придётся на каждой странице сравнивать пароль с хешированой строкой из базы данных. А это нагрузка на сервер, ведь хеширование производится долго. Получается, нужно один раз авторизацию делать и записывать данные в сессию? Или как это делается? 0

@Jodah 3900 / 3238 / 1353 Регистрация: 01.08.2012 Сообщений: 10,914
	01.11.2018, 21:13
	Сообщение было отмечено Para bellum как решение Решение Генерируете длинную рандомную строку и записываете её в куки и базу. И сравниваете их при заходе на каждую страницу. Ну и id юзера тоже записываете и сравниваете, чтобы перед записью рандомной строки в базу не нужно было проверять её на уникальность. 0

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70
	01.11.2018, 21:18 [ТС]
	Если строка не хеширована, то способ ненадёжный. Когда на сайте пользователи держат персональные данные так нельзя делать 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	02.11.2018, 13:04
	Ответ Jodah верен. Автор темы вообще не понял, о чём речь. 2

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	02.11.2018, 13:51
	Jodah, я так понял речь про куку. Зная ее можно делать запросы от имени юзера без всяких паролей. 0

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70
	02.11.2018, 15:39 [ТС]
	Насколько я понимаю, расшифровка имеет свою стоимость. Чем тогда это отличается от сравнения с хэшем? В любом случае, при переходе пользователя по страницам эту расшифровку придётся каждый раз делать. Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается 0