Страница 1 из 1

Авторизация в приложении

Добавлено: 10 мар 2013, 14:57
Dimaz
Всем привет. Хочу услышать мнение опытных разработчиков. Какой механизм лучше использовать для авторизации в приложении. Механизм куки или сессий? Сделал механизм сессий, но оказалось, что в IE они не работают, т.е. теряются каждый раз. Для устранении этой проблемы мне посоветовали прописать в index.php: header('P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"'); Прописал, заработало. До этого он не мог авторизироваться и загрузить данные с другого php-скрипта. В гугл хроме все работает нормально. Но потом меня разочаровали. Сказали, что в других браузерах с сессиями тоже проблемы и для них этот код не подойдет, так как он только для IE. Кстати раньше у меня стоял механизм куки и я в них хранил id пользователя и auth_key.
Я решил протестировать свое приложение на прочность и подменил id пользователя в куках на другой. В итоге в базе данных все баллы записались чужому пользователю. Мне посоветовали использовать сессии. Так и сделал. Только на утро до меня дошло, в чем на самом деле была проблема. Я забыл подключить в других php-скриптах файл user_auth.php. Именно поэтому он записывал данные чужому пользователю и не выдавал ошибку авторизации(после подмены куки).
В случае с сессиями, в других скриптах нужно всего лишь включить проверку определена ли сессия с данным именем. Если нет, выдать ошибку авторизации. Т.е. файл user_auth для механизма сессий не нужен по той причине, что данные юзер подменить не сможет. В случае с куками нужно в каждый скрипт включать проверку user_auth.
Так что же лучше, сессии или куки?