Вопрос мб тупой, но не могу сам найти решение. Встал вопрос о создании примитивной системы авторизации, т.е. логин пароль и так далее. Тут все ясно, но неясен момент - что именно хранить в куках авторизованного юзера? Т.е. как доказать, что он это он, а не кто-то левый?
Просто хранить его Id, имя или какое-то значение вида "good" отпадает, сами понимаете почему. Нужно что-то уникальное, чтобы не могли подделать и войти под другим. Хранить пароль опасно, мд5 пароля - вариант, но выходит придется при каждом обращении к странице посылать запрос в базу, сверять пароль, что лишняя нагрузка на бд. Генерить на основе ника хэш - опять же, сорцы открыты, кто-то посмотрит алгос и войдет под другим ником. Не вариант.
В общем, не знаю как сделать, подскажите,может у вас будут какие-то идеи.
p.s. сессии не вариант, нужны куки.
|