419236368, в вк есть inblockAuth в зависимости какой ты укажешь метод авторизации , либо чужой компьютер , тогда куки запишутся пока браузер будет активный , либо на неопределенный срок, тогда сработают сессии
Trec80 (08.05.2019 в 18:55)
419236368 (08.05.2019 в 18:53)
Trec80 (08.05.2019 в 18:50)
Челябинский (08.05.2019 в 18:48)
Trec80 (08.05.2019 в 18:47) Челябинский, к примеру какие?
вк и т.д
Удалил куки ВК и остался авторизированным)
плохо удалил, невозможно остаться авторизованным, потому что как минимум идентификатор сессии в куках
Trec80 (08.05.2019 в 03:08)
Пацыки!
Кто как считает , где лучше хранить авторизацию пользователя?)
1 - Сессии
2 - Куки)
Начали баталию!
P.s тут можно баллы заработать )
Я помню, ты задавал мне вопрос в моей теме по продаже ядра, на тему: каждый раз вводить логин и пароль при входе с разных устройств?
Так вот, проблему я решил, а так же дал возможность пользователям просматривать свою активность и удалять все сессии, кроме текущей (почти как в вк).
Реализовал я это с помощью кук, сессии мне не пригодились, вся информация хранится полностью на стороне пользователя. (да, передача в заголовок идет и загрузка снижается - но это доли секунд)
По сути куки безопасны на половину, но на это приходит httponly и ssl, теперь они безопасны на 90% ведь: куки HTTPonly не доступны из JavaScript через свойства Document.cookie API, что помогает избежать межсайтового скриптинга (XSS).
Куки украсть можно двумя путями: xss и допуск к пк, если с xss мы разобрались и защитили свой сайт, то при доступе к пк - это уже не наша проблема. Ведь даже если используются сессии, то доступ к аккаунта получить проще простого)
Остальные 10% - это привязка по ip или user-agent, но это уже на усмотрение самого пользователя.
----
В моем случае используется три ключа, которые ни одним подбором нельзя будет подобрать.
----
А дополнительно при смене ip и user-agent запрашивать пароль, будет весьма эффектно)