Я только начинаю изучать сеансы, и для моих целей я хочу создать что-то, что при каждом запросе от клиента сервер аутентифицирует этого пользователя и только затем выполняет обработку данных для этого пользователя.
Тем не менее, я видел много примеров с CodeIgniter, где сеанс настроен следующим образом:
$this->load->library('session');
$newdata = array(
'username' => 'johndoe',
'email' => '[email protected]',
'logged_in' => TRUE
);
$this->session->set_userdata($newdata);
Однако не может ли кто-то просто создать cookie на своем компьютере с общим именем пользователя и состоянием logged_in в значение true, и вдруг вы аутентифицируетесь без пароля? Мне это кажется недостатком безопасности, но я вижу очень много подобных примеров.
Как правильно аутентифицировать пользователя по каждому запросу?