Aliance, аргументация "классический вариант" не подходит?
Способ простой - и пароль не хранится, и перелогиниваться при конце сессии не надо.
А если по IP хочешь проверку на случай XSS, то last_ip храни в таблице пользователя.

nerezus, а при конце жизни кук надо? Мне кажется ты написал не подумав.
Время жизни у кук же есть, и она ничем не отличается от сессии. Потому что это те же куки. Так что тут однотипная модель.

Только в классическом варианте есть хеш, который можно расшифровать (лично так делал много раз) (конечно соль и т.д. поможет, но не гарантированно), а там ты пароля не узнаешь. Конечно можешь украсть куки (как и в том варианте), то тогда смена сессии будет для пользователя незаметна, в отличии от принудительной смены пароля.

 Подумав.

 От PHP-сессий - очень даже отличается.

Aliance можно немного внесу свою лепту?

Я считаю вариант С, будет получше чем оба.   

Обьясню... т.е. при первом заходе юзера на сайт, и ввода им пароля и логина, мы создаем ХЭШь(на основе чего, тебе видней), и заносим его в БД. Далее при каждом действии юзера, этот хэшь мы прверяем, и если не то, то "пока".

Пчему это лучше чем хранить в кукисах и пр.?
Просто этот хэшь в БД, точно украсть не сможет никто... в отличии от сессий и кук.

bazzjr, а как идентифицировать пользователей? 

идентифицировать при заходе на сайт? или в последующей работе с сайтом?

bazzjr, в последующей работе с сайтом?

разве не понятно? или ты имел ввиду как это будет выглядеть в коде ПХП?   

этот "ХЭШь" мы как-то должны хранить у юзера, либо в куках, в сессии (куках, в ссылках). Ты же говоришь: 

Ты предлагаешь ещё как-то хранить его у юзера? как?

у юзера естественно хранить это в сесиях.

но даже если сессия будет сперта(ее трудоемко спереть в отличии от кусисов), то это ничего не даст. Так же можно для доп.защиты(для параноиков) приписывать префикс во время проверки, это дает высокую степень защиты, так как для взлома хакеру нужно выявить этот префикс, что практически невозможно.

bazzjr, это и есть вариант В 

да, только там говорится про куки, нет розговора про сессии, и ни слова при этом про БД...

это не суть.

Можно сделать так.

В таблице хранить  идентификатор сессий, который записывается при каждом логине. И айпи последнего входа.

При авторизации проверять ясное дело логин и пароль, и если успешно выдавать уникальный номер пользователя в зашифрованном виде.

Далее , если при каждом действии пользователя на сайте, сверяется идентификатор сессии и айпи (не изменились ли они), если все норма то пользователь продолжит работу. Если нет то удалить идентификатор пользователя и предложить заново авторизоваться.

xarakiry, у некоторых пользователей IP может менять в течении сессии.


Элфет прав, это и есть он