Как безопасно авторизоваться через аякс?

[javalord]

Привет. Суть такая: есть страница, на которой весь контент формируется динамически с помощью js и иногда в переменные загружаются данные полученные аяксом.

И при залогинивании не должно происходить перехода на другую страницу.

Но нужно что-бы сервер (php), отвечая на аякс-запросы знал под каким ником юзер залогинен.

Была мысль использовать куки, но возникает сомнение в их необходимости: ведь можно пароль и логин хранить в переменных и при каждом аяксе отправлять их. Но насколько ли это безопасно или быть может лучше использовать куки? Как лучше это реализовать?

[depp]

используйте куки. вообще пулять все время туда сюда пару логин/пароль крайне не безопасно. многие сайты даже стараются вынести авторизацию на https отдельно, дабы избежать перехвата пароля. а вы собираетесь гонять его при каждом запросе. не секьюрно.

[javalord]

А насколько безопасней хранить пароль в куках? Они же вроде при отправке запроса тоже отправляются серверу.

И нет ли риска что куки будут украдены через недоверенные пользовательские скрипты?

[WorM32]

Сообщение от javalord

А насколько безопасней хранить пароль в куках? Они же вроде при отправке запроса тоже отправляются серверу. И нет ли риска что куки будут украдены через недоверенные пользовательские скрипты?

риск есть всегда, но хранить в куках сессию надо.

[javalord]

Но чтобы залогиниться всё равно придётся введённый пароль считать в переменную и отправить серверу аяксом? Ведь отправка должна происходить без перезагрузки страницы.

И я так полагаю, в ответе от сервера должен быть сгенерированный session id?

[WorM32]

Сообщение от javalord

Но чтобы залогиниться всё равно придётся введённый пароль считать в переменную и отправить серверу аяксом? Ведь отправка должна происходить без перезагрузки страницы. И я так полагаю, в ответе от сервера должен быть сгенерированный session id?

Нет разницы, как ты отправляешь данные, ajax'ом или нет. Тут важно: используешь ли ты при этом https.
А ответ сервера может быть любой, главное, чтобы по ответу вы поняли, что логин прошел успешно.

[javalord]

Ну, js то определит что залогинивание прошло успешно но надо чтобы и сервер отвечая на аяксовые запросы знал ник пользователя с которым работает.

[WorM32]

Сообщение от javalord

Ну, js то определит что залогинивание прошло успешно но надо чтобы и сервер отвечая на аяксовые запросы знал ник пользователя с которым работает.

Он об этом будет знать из кук.

[javalord]

А в куках всё таки нужно хранить пароль или нет?

[depp]

нет. в куках пароль хранить не нужно, ибо это первое что скорее всего стащат. сделай отдельную таблицу с сессиями пользователей и записывай туда id пользователя и сессию
что то типа:
user_id (int)
session_id (varchar(32))
и при авторизации создавай куку, которая будет содержать session_id. по ней ты всегда сможешь узнать что это за юзер и всю инфу о нем.