Я читал о многих старых вопросах об этом аргументе и подумал, что лучше всего настроить файл cookie с именем пользователя
, user_id
и случайный токен.
Те же данные cookie хранятся в БД при создании cookie, и когда у пользователей есть cookie, они сравниваются (данные cookie, данные БД).
С уважением, я не могу понять, где это логика безопасности, если это реальная передовая практика.
Злоумышленник, который крадет куки, имеет тот же куки, что и исходный пользователь: |
Забыли шаг? : P