Я создал форум, который использует сеанс PHP при входе в систему, чтобы определить идентификатор пользователя и файлы cookie для входа в журнал.
Наверное, у меня есть два вопроса:
Благодаря!
Во-первых, убедитесь, что вы используете https, а не http. Это заставит ваш трафик получать нюхание и эксплуатацию.
Во-вторых, генерируйте как случайное значение, которое возможно использовать в качестве маркера в файле cookie. Это то, как многие из больших сайтов отслеживают свои пользователи. Имейте карту маркера для пользователя на стороне сервера, который отслеживает идентификаторы. Помните: все, что приходит от клиента, не доверено и может быть подделано.
В-третьих, используйте HMAC, чтобы сделать вмешательство намного сложнее. Вы не хотите, чтобы пользователи могли перетаскивать другие токены.
РЕДАКТИРОВАТЬ:
Вы можете найти эти другие ответы на вопросы и ответы полезными при создании этой системы:
Длинная информация о создании и использовании токенов (необязательно должна быть применима служба REST ): реализация маркера аутентификации веб-службы REST
Создание хороших токенов (не используйте microtime): Использует microtime () для генерации ложных ошибок маркеров сброса пароля