Probabil că nu ar trebui să prelungiți durata de viață a cookie-ului de sesiune.
Deși nu se ocupă în mod special cu șinele acest articol merge într-o anumită lungime pentru a explica "amintiți- ' cele mai bune practici.
În rezumat însă ar trebui:
- Adăugați o coloană suplimentară în tabelul de utilizatori pentru a accepta o valoare aleatoare mare
- Setați un cookie de lungă durată pe client, care combină id-ul utilizatorului și valoarea aleatorie
- Când începe o nouă sesiune, verificați existența cookie-ului id / value și autentificați noul utilizator dacă se potrivesc.
De asemenea, autorul recomandă invalidarea valorii aleatorii și resetarea fișierului cookie la fiecare conectare. Personal nu-mi place asta deoarece tu nu poți rămâne conectat la un site pe două computere. Aș încerca să vă asigur că funcția de modificare a parolei reseta și valoarea aleatorie, blocând astfel sesiunile pe alte mașini.
Ca o notă finală, el dă sfaturi pentru a face anumite funcții (schimbare de modificare a parolei / e-mail, etc), disponibil la sesiuni auto autentificate este bine în valoare de mai jos, dar rareori văzut în lumea reală.