PHP авторизация
Сайт с анкетами. Я как понимаю, логика такая:
- проверить есть ли куки авторизации если нет то гость. делаем сессию(для избранного, и чего-нить еще) + куку тоже создаем что б не удалялась
если есть то сравнить со значением из базы данных // вопрос 1- одной строки из random_bytes в 256 символов достаточно для id авторизации(если это вообще так делается)? пользователь авторизован создаем сессию для удобства // вопрос 2 - зачем нужна сессия? там просто удобнее переменные держать ничего не отправляя пользователю?
гость хочет зайти: сверяем логин пароль, если все норм то выдаем ему куку random_bytes 256 длины. // вопрос 3 - прошу пояснения, везде пишут что пароли лучше не хранить в открытую в бд, но я так понимаю что обычно хранят.ситуация: БД ~500 чел, которые точно не захотят угонять пароли со мной не контактируют.
вышел - удаляем куку.
если пользователь хочет изменить свои данные, лучше его просить заного ввести пароль? мне здесь сессия нужна будет просто для добавления в избранное