peki cookie ye direkt id değil token kaydetme sebebimiz ney, cookie ye erişim kolay diye okumuştum o yüzden mi yani direkt id ye 5 yazıp session ı 5 e atayamasın, benzersiz random token olsun onun kontrolüyle erişim sağlansın diye mi yani token + username yerine token + id de yapmam bir şeyi değiştirmez ama sadece id yapmam güvenlik için kötü olur o zaman demi
Token amacı güvenlik zaafiyeti olmaması açısından.
Ben yöntemi sana anlatırken en basit haliyle anlattım.
Mesela token kodu kontrol ederken arada bir token kodu değiştirmen/yenilemen gerekir.
Direk ID yazarsan kötü niyetli kullanıcı web sitende açıkları daha rahat bulabilir veya bulduğu DB açıklarında işi çok daha kolay olur.
Ama benzersiz bir random token oluşturup bunu kendinize göre belirlediğiniz kurala göre belirli aralıklarla değiştirirsen daha iyi olacaktır.
Mesela buna kendin ekstra olarak ta güvenlik kontrolleri ekleyebilirsin.
Mesela token'ın yanında kullanıcının tarayıcı bilgilerini de alabilirsin.
COOKIE check edip üyeyi bulduktan sonra tarayıcı kontrolü de yapabilirsin.
Kullanıcı Chrome'dan girmiştir ama kötü niyetli kullanıcı token kodunu bulup Edge'den girmiştir. Bunu engelleyebilirsin.
IP kontrolü yapabilirsin. 10 dakika önce 111.111.xxx.xx IP si ile giren kullanıcı şimdi alakasız bir 222.222.xxx.xxx ile girmişse güvenlik amaçlı sadece en hızlı şekilde şifre girmesini isteyebilirsin.
Bunun gibi yapabileceğin bir sürü güvenlik protokolü vardır.