Привет, ребята.
Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Какие есть варианты решения этой проблемы.
Я вот думаю можно сгенерировать случайным образом второй пароль, специально для автологина, и уже его передавать клиенту. И его можно например раз в месяц менять.
Таким образом если хакер узнает такой пароль, то он, конечно, залогинеться сможет. Но например поменять основной пароль он не сможет, так как для этого сайт будет запрашивать именно основной пароль повторно. А по прошествии месяца временный пароль перезапишется и хакер потеряет вообще доступ к логину на сайте. ( Если, конечно, его второй раз не стырит
).
Хотелось бы узнать какие есть варианты решения данной ситуации.