Авторизация с использованием куки

@Step01 · Регистрация: 27.01.2018

Студворк — интернет-сервис помощи студентам

Как правильно делать авторизацию на сайте с помощью куки? Очевидно, что просто записывать в куки id пользователя нельзя. Можно сохранять специальный пароль. Но тогда придётся на каждой странице сравнивать пароль с хешированой строкой из базы данных. А это нагрузка на сервер, ведь хеширование производится долго. Получается, нужно один раз авторизацию делать и записывать данные в сессию? Или как это делается?

@Jodah · 01.11.2018, 21:13

Генерируете длинную рандомную строку и записываете её в куки и базу. И сравниваете их при заходе на каждую страницу.

Ну и id юзера тоже записываете и сравниваете, чтобы перед записью рандомной строки в базу не нужно было проверять её на уникальность.

@Step01 · 01.11.2018, 21:18 **[ТС]**

Если строка не хеширована, то способ ненадёжный. Когда на сайте пользователи держат персональные данные так нельзя делать

@Jodah · 01.11.2018, 21:25

Сообщение от Step01

Если строка не хеширована, то способ ненадёжный.

Чем? Зачем вам именно хэш в куках?

Сообщение от Step01

Когда на сайте пользователи держат персональные данные так нельзя делать

Почему?

@Step01 · 01.11.2018, 21:29 **[ТС]**

Сообщение от Jodah

хэш в куках?

Хеш не в куках, а в БД

Сообщение от Jodah

Почему?

Это элементарные меры безопасности

@Jodah · 01.11.2018, 21:40

Сообщение от Step01

Хеш не в куках, а в БД

Хорошо. Зачем вам хешированная строка, чем она отличается от обычной?

Сообщение от Step01

Это элементарные меры безопасности

Ок, можете скинуть какую-нибудь ссылку в качестве подтверждения?

Добавлено через 6 минут

Сообщение от Step01

Получается, нужно один раз авторизацию делать и записывать данные в сессию?

При старте сессии юзеру отправляется кука с именем PHPSESSID. Поэтому этот вариант будет работать также, как предложенный мной, только больше лишних звеньев.

@Step01 · 01.11.2018, 21:40 **[ТС]**

Сообщение от Jodah

Ок, можете скинуть какую-нибудь ссылку в качестве подтверждения?

Ссылку на что? На взломанный сайт?
Тема создана не для того, чтобы обучать вас безопасности. В сети полно информации. Здесь задан конкретный вопрос

@Jodah · 01.11.2018, 21:50

Сообщение от Step01

Ссылку на что?

Вы же сказали, что это элементарные меры безопасности. Значит кто-то где-то в интернете должен был об этом написать и не раз. Я подобного никогда не встречал, поэтому и спрашиваю.

Сообщение от Step01

Тема создана не для того, чтобы обучать вас безопасности.

Разумеется, но форум на то и форум, чтобы вести дискуссии. Я предложил вариант, вы назвали его небезопасным и не пояснили причину, поэтому я и прошу какие-нибудь пруфы.

@estic · 02.11.2018, 12:30

Сообщение от Step01

Тема создана не для того, чтобы обучать вас безопасности. В сети полно информации. Здесь задан конкретный вопрос

Jodah в своем первом сообщении дал достаточно полный ответ на ваши вопросы.

@Para bellum · 02.11.2018, 13:04

Ответ Jodah верен. Автор темы вообще не понял, о чём речь.

@tarasalk · 02.11.2018, 13:35

На самом деле подобное хэширование действительно имеет место быть. БД могут угнать или какой-то сотрудник воспользуется доступом к БД в своих целях... в таком случае знание хэша само по себе ничего не даст.

Сообщение от Step01

А это нагрузка на сервер, ведь хеширование производится долго

С чего вы взяли что долго?

@Jodah · 02.11.2018, 13:44

Сообщение от tarasalk

БД могут угнать или какой-то сотрудник воспользуется доступом к БД в своих целях...

Если вы имеете ввиду хеширование пароля перед записью в базу - полностью согласен. Но что и зачем предлагает хешировать ТС, я так и не понял.

@tarasalk · 02.11.2018, 13:51

Jodah, я так понял речь про куку. Зная ее можно делать запросы от имени юзера без всяких паролей.

@Para bellum · 02.11.2018, 13:54

Сообщение от Jodah

Но что и зачем предлагает хешировать ТС, я так и не понял.

Ту строку хочет хешировать перед записью в БД, которую вы предложили генерировать. Чтобы кто-то не мог, взломав БД, подставить ту строку к себе в cookie и авторизоваться на сайте таким образом.

Я считаю, что хешировать её не нужно. Лучше шифровать содержимое cookie, например, как в Laravel. Тогда и сотрудник, упомянутый tarasalk'ом не сможет cookie подделать и любой другой злоумышленник.

@Step01 · 02.11.2018, 15:06 **[ТС]**

Сообщение от Jodah

что и зачем предлагает хешировать ТС, я так и не понял

Я ничего не предлагаю. Я спрашиваю, как делается авторизация с использованием куки. Предложили держать в базе данных незашифрованный пароль и записывать его в куки. Я спорить ни с кем не собираюсь, просто хочу найти другие идеи, а точнее способ, который обычно используется на реальных сайтах. Насчёт шифрования куки понял, но не уверен, что я смогу хорошо зашифровать. Хеширование надёжнее

@Para bellum · 02.11.2018, 15:11

Сообщение от Step01

Насчёт шифрования куки понял, но не уверен, что я смогу хорошо зашифровать.

openssl поможет.

@Step01 · 02.11.2018, 15:39 **[ТС]**

Насколько я понимаю, расшифровка имеет свою стоимость. Чем тогда это отличается от сравнения с хэшем? В любом случае, при переходе пользователя по страницам эту расшифровку придётся каждый раз делать. Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается

@Jodah · 02.11.2018, 18:12

Сообщение от Step01

Предложили держать в базе данных незашифрованный пароль и записывать его в куки.

Ни в коем случае, пароль хранится в БД в виде хеша, сгенерированного функцией password_hash и в куках не используется. А в куки (и базу тоже) отправляется длинная строка из случайных символов, никак не связанных с паролем.

@Para bellum · 02.11.2018, 19:15

Сообщение от Step01

Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается

Делают.

@Step01 · 02.11.2018, 20:04 **[ТС]**

Сообщение от Jodah

отправляется длинная строка из случайных символов

Я именно этот пароль имел в виду. Какой смысл хешировать один пароль, если есть другой незашифрованный. Если их украдут, то оба))

Сообщение от Para bellum

Делают.

Ясно, спасибо

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

Авторизация с использованием куки

Решение

Решение

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70

	Авторизация с использованием куки 01.11.2018, 20:55. Показов 5270. Ответов 41 Метки нет (Все метки) Как правильно делать авторизацию на сайте с помощью куки? Очевидно, что просто записывать в куки id пользователя нельзя. Можно сохранять специальный пароль. Но тогда придётся на каждой странице сравнивать пароль с хешированой строкой из базы данных. А это нагрузка на сервер, ведь хеширование производится долго. Получается, нужно один раз авторизацию делать и записывать данные в сессию? Или как это делается? 0

@Jodah 3900 / 3238 / 1353 Регистрация: 01.08.2012 Сообщений: 10,914
	01.11.2018, 21:13
	Сообщение было отмечено Para bellum как решение Решение Генерируете длинную рандомную строку и записываете её в куки и базу. И сравниваете их при заходе на каждую страницу. Ну и id юзера тоже записываете и сравниваете, чтобы перед записью рандомной строки в базу не нужно было проверять её на уникальность. 0

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70
	01.11.2018, 21:18 [ТС]
	Если строка не хеширована, то способ ненадёжный. Когда на сайте пользователи держат персональные данные так нельзя делать 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	02.11.2018, 13:04
	Ответ Jodah верен. Автор темы вообще не понял, о чём речь. 2

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	02.11.2018, 13:51
	Jodah, я так понял речь про куку. Зная ее можно делать запросы от имени юзера без всяких паролей. 0

@Step01 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 70
	02.11.2018, 15:39 [ТС]
	Насколько я понимаю, расшифровка имеет свою стоимость. Чем тогда это отличается от сравнения с хэшем? В любом случае, при переходе пользователя по страницам эту расшифровку придётся каждый раз делать. Я хочу понять, на практике так делают, или авторизацию в сессию записывают или это как-то по-другому делается 0