Авторизация на куках и сесиях

Здравствуйте, пишу скрипт авторизации на куках и сесиях. Возник у меня один вопрос.

После удачной авторизации я отправляю юзеру куки если он нажал "запомнить меня", в куках пока храню только хеш. Вроде все работает нормально, но вопрос в другом:

Как мне правильно определить авторизирован пользователь или нет, сейчас я делаю это так:
если установлена кука то ищем в базе юзера с такой кукой, но пулучаеться что если припустим пользователей на сайт зайдет 1000 то это уже 1000 запросов + если пользователь просмотрит 10 страниц на сайте то это 10к запросов только на проверку авторизации.

Чувствую нутром что то то не то делаю, посоветуйте пожалуйста как правильно сделать.

В БД в таблице sessions хранится идентификатор сессии пользователя, в cookie ему ставите идентификатор. При заходе пользователя берете сессию из БД по идентификатору в cookie и тем самым идентифицируете пользователя.
По другому никак.

Слишком много запросов, думал можно как-то их уменьшить ...

ну ок. храните хеш. При первом заходе на сайт (после некоторого отсутствия) вы лезете в базу и сверяете. Если проверка успешна - пишете в сессию идентификатор какой-нить, и по нему определяете, что юзер авторизован, и в базу лезть не надо.

т.е. алгоритм.

-----
Чем больше узнаю, тем больше я не знаю.

DelphinPRO

Спасибо за идею, буду пилить

(Отредактировано автором: 06 Августа, 2013 - 19:10:08)

Быстрее обратиться к бд, чем считывать файл сессии на жестком диске.


ИМХО, 10тыс запросов не будут отправлены за пару секунд, если база не падает - рано думать об оптимизации запросов.

Предъявите результаты проведенных тестов с замерами скорости.

-----
Чем больше узнаю, тем больше я не знаю.

Храните сессионные (короткоживущие) идентификаторы в memcache. Долговременную авторизацию - в базе.
Если такая архитектура подходит рамблер-почте, то и вас устроит.

Если пришла кука долгоживущей авторизации, но нет короткоживущей - валидируйте куку и стартуйте короткую сессию.

-----
PostgreSQL DBA

Да согласен что одновременно не будут отправлены, но кроме авторизации есть еще много информации которою нужно выводить с базы... И все в месте как по мне создаст не хилую нагрузку.

Возможно я и не прав, хочу услышать от гору что они думают об этом )
(Добавление)


Суть понял, но как реализовать не очень

Может подкинете какой-то кусочек кода для примера?

в общем БД работает быстрее потому что спроектирована для этого. Но поскольку файлы сессий небольшие то вероятнее всего они будут считаны быстрее потому как будут болтатся в дисковом кеше
(Добавление)

зачем какая то таблица сессий если есть таблица юзеров с идентификаторами


если юзер зайдет на сайт то понадобится на два порядка больше запросов. Хотя бы чтоб показать юзеру контент страниц на которые он зашел. Однократный запрос при авторизации - ничего не меняет

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Наверное для того, чтобы можно было управлять сессиями?
P.S. Не путать с PHP сессиями.

(Отредактировано автором: 07 Августа, 2013 - 11:17:37)

сессия есть сессия - сеанс связи юзера с системмой. Не может быть никакой сессии между заходами юзера на сайт.

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Таблица sessions: