Если пришли POST данных:
> Проверка, запрос в базу, получаем из базы либо FALSE либо массив AuthenticationUser
> Пишем в сессию > если чек "запомнить меня" задаем еще и куки
> переадресация
Далее:
>берем из сессии AuthenticationUser, если пусто, проверяем куки и делаем запрос в базу и получаем AuthenticationUser, если куки пусты переадресация на аутентификацию
И на конец:
>если AuthenticationUser существуем и корректен пропускаем пользователя дальше, иначе переадресация на аутентификацию.
Данный алгоритм реализую для админки.
Чуть не забыл: в сессию пишутся половину параметров пол ученых из базы, а в кукак только данные для запроса в базу (логин и пароль в шифрованом виде)
"Правильно" ли? Кто как делает?
|