Я краснею о многих старых вопросах об этом аргументе, и я думаю, что я решил, что лучше всего настроить cookie с username
, user_id
и случайным токеном.
Те же данные cookie хранятся в БД при создании файла cookie, а когда пользователи имеют cookie, они сравниваются (данные cookie, данные БД).
Искренне я не понимаю, где логика безопасности, если это реальная лучшая практика.
Злоумышленник, который ворует cookie, имеет тот же файл cookie, что и исходный пользователь: |
Забыл какой-то шаг?: P