将来のアカウント認証のためにクッキーにどのような情報を保存するには？

Question

だから私は、ユーザーアカウントと私の初めてのウェブサイトを構築しています。ユーザーは、彼らが実際にそのユーザーであることを証明することができますので、私はクッキーに保存する必要がありますどのようなデータ？今、私にあるときに、ユーザーがログインには、ユーザID、ユーザ名、ランダムに生成されたセッションIDおよび将来の認証のためのハッシュされたと塩漬けパスワードを保存します。私は最後の部分をやるべきかどうかわからないんだけど...

誰もがそれを示唆する前に、私はOpenIDのを使用しますが、私のターゲットオーディエンスは、ハイテクに精通したあることが保証し、私はそれがちょうどそれらを混同だと思うされていません。私は、可能な限り「定期的」なものを維持していますので、競争に行く関心のあるユーザーを望んでいません。私は、サイトの登録やOpenIDで...

の両方を提供できると仮定します

Answer 1

セッションデータが保持されている限り、他の任意のデータを格納することができ、サーバー側のセッションに対して：

あなたは本当に唯一のセッションIDを格納する必要があります。彼らは保存され、平文で送信されているので、クッキーに個人データを維持することは、良いアイデアではありません。

あなたが他の誰かのセッションにつかむ人を心配しているの場合はセッションハイジャックに見てくださいクッキーで、...けれどもこの方法を使用して、それが（この出来事の最も一般的なケースは、GET要求の一部としてセッションIDを周りに渡すサイトである）通常行うのは少し難しくなります。