Пойдет ли моя концепция по авторизации? Жду ваше мнение

1. При авторизации/регистрации пользователя записывать ему в сессию уникальный хеш, этот же хеш записать ему в учетку в бд. А так же записать в куки пароль в шифрованном виде и id аккаунта

2. Авторизовать пользователя проверкой:
Хеш в сессии == хеш в бд (совпадет - true, не совпадет - false)

3. Когда текущая сессия сгорит, то произойдет автоматическая авторизация по куки, и снова в бд и в сессию запишется новый уникальный хеш, который будет меняться каждый при новой авторизации по куки

Концепция старая как мир если честно
Но мысли хорошие

System, мне важен не возраст концепции, а хороший уровень безопасности аккаунта

388830670, Норм вещь будет

Важно к этой сессии привязывать данные про IP и браузер
Если сменить их что бы не пускало на сайт в аккаунта
________
посл. ред. 10.01.2020 в 21:50; всего 1 раз(а); by System

System, тогда куки потеряет смысл. Его задача обеспечивать пользователя долгосрочной авторизацией, чтобы при каждом заходе не вписывать логин и пароль. А ip и данные о браузере как раз будут сбивать это
________
посл. ред. 10.01.2020 в 22:14; всего 1 раз(а); by 388830670

System, это ладно если бы у всех был статический ip.

Ну это надёжней всего, а вообще разбери авторизацию от ларавела, она доволее неплохая
Но если не завязывать сессию на ип и юзер агенте, то можно их с воровать, это не гуд

System, я думаю сессию почти невозможно украсть, так как он хранится на сервере где пользователю недоступен ни его просмотр, ни его редактирование. А вот подменить можно, если кодер криворукий

делать типо {id: 1, login: Admin, agent: {ip: 127.0.0.1, broswer: 'браузер'}}.хеш
Это конечно правильно реализация по стандарт безопасности и снижает нагрузки с базы для выдергивания для личного данных.
двух зайцев одним выстрелом
Но для вап как то не влияет сильно на него.
Если знаком с реализации bearer
________
посл. ред. 11.01.2020 в 09:44; всего 1 раз(а); by 556863864