Witam,

Zastanawiam się, jak rozwiązać problem zapamiętywania zalogowania użytkownika. Myślałem nad ciastkiem w którym zapiszę unikalny ID i po sprawdzeniu zalogowania użytkownika, jesli nie jest zalogowany, sprawdzam w DB czy ostatni IP o UniqID w ciastka się zgadzają, jesli tak to odświerzam sesje.

Z drugiej strony jednak nie jest to zbyt bezpieczne wg mnie. Można przecież "ukradnąć" ciastko użytkownikowi i podszyć się pod niego.

Szukałem w Google, ale nie znalazłem nic wartościowego. Macie może jakieś doświadczenie z tym?

A może oprócz unikalnego id, zapisz także ip i ua? Będzie to o wiele bezpieczniejsze.

a moze sesja ? i czas jej wygasniecia? i w sesji ustawic id uzytkownika i zmienna ktora mowi czy zalogowany czy nie.

Mam sesje wykożystywana do logowania, ustawiona jest standardowo na 2 godziny. Dodam, że pracuje na CI wiec musiałbym ustawić sesje sztywno albo grzebać w plikach FW a to trochę lipne rozwiązanie.

@mat-bi, co to jest "ua"?

User Agent

User agent oraz id zapisane w cookie są zbyt łatwe do podmiany.
Zapisuj w jednym cookie id a w kolejnym hash np. sha256 z id, name, pass, expire, salt.
Coś podobnego Symfony2 robi.

Najlepiej wykorzystać rozwiązanie przedstawione tutaj: Własny mechanizm sesji. Oczywiście należy go jeszcze ulepszyć, np. o sól.

W ostatnim czasie były chyba cztery tematy na ten temat i zostały wyczerpane w 100% sądzę - pod kątem rozwiązania które zaproponował Spawn.

Poszukaj - to nie boli.