Как сохранить и управлять идентификатором сессии и идентификатором пользователя в PHP и MySql

Сессии PHP основаны на Cookies. Когда пользователь открывает веб-страницу, PHP в ответ устанавливает cookie. Браузер автоматически гарантирует, что в последующем запросе этот cookie также отправляется в запросах, следовательно, переменные $ _SESSION работают. По моему мнению, они не обеспечивают большую часть безопасности. Вместо идентификатора пользователя теперь злоумышленник должен получить куки файлы. Всегда используйте HTTPS для защиты запросов.

С Android-приложением вы будете делать пользовательский запрос, поэтому вам придется явно устанавливать cookie, полученный после самого первого вызова (вам придется сохранять его на стороне клиента; не очень хороший подход),

Обычный способ работы сессии следующий:

1. Когда $ _SESSION используется для установки значения в первый раз, PHP устанавливает файл cookie сеанса, который по сути является случайной строкой.
2. За кулисами (в Backend) PHP поддерживает объект (пару ключ-значение) для этого строкового значения. (SessionKey1 = { key: value, key2: value2 }; это может быть в файловой системе диска или на уровне кэша (например, Redis), в зависимости от конфигурации вашего сервера)
3. Когда вы устанавливаете/обновляете/удаляете ключ в сеансе, SessionKey1 изменяется.

Теперь вы можете создать подобное поведение для себя. Когда идентификатор пользователя найден на стороне приложения Android, отправьте его бэкэнду, создайте строку в таблице сеансов (идентификатор сеанса в качестве случайной строки и идентификатор пользователя в качестве пользовательского идентификатора). При каждом запросе отправляйте этот SessionId вместе с запросом (в теле или заголовках) на бэкэнд-проверку, получил ли sessionId выход из таблицы Sessions. Если да, получите идентификатор пользователя и обработайте.

Вот альтернативный подход (возможно, немного более безопасный)

Когда токен доступа найден после проверки набора учетных записей

• отправить его бэкэндом
• проверить токен от Facebook API (ссылка)
• API валидации также возвращает информацию о пользователе, сопоставляя ее с вашими данными пользователя (из вашей структуры БД).

(Это гарантирует, что токен всегда действителен, пользователь не сможет поставить случайный токен для атаки, поскольку он не пройдет проверку с помощью API Facebook).

Сгенерируйте UUID, создайте строку с

• UUID в качестве sessionId,
• Ваш идентификатор пользователя
• Доступ к данным
• Создано в (когда создается строка)
• Истечение срока (Текущее время + X дней)

отправьте этот UUID в ответ.

Теперь на стороне Android, сохраните этот UUID где-нибудь. Создайте запрос Intercepter, для всего запроса установите этот UUID в пользовательском заголовке (например, X-<application_name>-Auth). На стороне сервера для каждого запроса, получите доступ к этому заголовку, проверьте, не истек ли он, получите идентификатор пользователя из таблицы сеансов и продолжайте.

Я думаю, что он мог бы очень хорошо получить информацию о сессиях с предложением WHERE ID_user = ID_user.

Совершенно верно?

Вы абсолютно правы. Но защита уровня БД должна быть отдельной задачей от разработки приложений. Как вы думаете, хакер сможет выполнять запросы в первую очередь? Если кто-то найдет способ выполнить необработанные запросы к БД, он может нанести гораздо больший ущерб, чем просто извлечение данных.

Если я прав, то что безопаснее, чем то, что я делаю?

Там нет правильного ответа, вы просто должны сделать все возможное, чтобы защитить приложение. Убедитесь, что ваше приложение соблюдает лучшие правила безопасности. Например - использовать HTTPS, предотвращая SQL-инъекцию (поиск OWASP Vulnerabilities)