Ответов: 8 Просмотров: 827
|
тогда можно сделать проверку по IP и пускать только с "разрешенных". Далее, онлайн остается но времени больше. в любом случае 5 минут это очень мало. если вообще заморачиваться, то можно после первого входа сбрасывать пароль, но тогда однозначно надо увеличивать время таймаута, и использовать куки с сроком жизни равным таймауту.
в сессии лучше хранить не логин, а случайное число (сессию), которое будет записывать в БД соответствующему юзеру при авторизации. Тогда вся аутенификация будет сводиться к проверке этой сессии... |