https://php.ru/manual/features.cookies.html https://php.ru/manual/function.json-encode.html https://php.ru/manual/function.json-decode.html
Ваще не надо достаточно хранить токен сгенереный для авторизованного пользователя и все... В крайнем - хранить или пользователя и какой-то хеш пароля
Пороли всегда нужно хэшировать. Если базу уведут ты сможешь защитить аккаунты. Уникальный логин тут не причем. Логин только для авторизации что бы понять в каком id искать кэш пароля
Это понятно, солить, хешировать, криптовать . Я про хранение хеша пароля в сессии. --- Добавлено --- Вопрос темы-то какой: "Как с помощью кукки сохранять логин и пароль?" Так вот. Я авторизовал юзера. Сохранил в куки (сессию) только логин(уникальный). Зачем мне в куках(сессии) еще хранить хеш пароля? Уже одно то, что в куках(сессии) сохранен логин говорит о том, что юзер авторизован.
Я про то - что логин не нужно хранить, какая-никакая а инфа о пользователе (можно например потом по логину пытаться подобрать пароль) а так - сохранил хеш какой то привязанный к пользователю и все - его же ищем и автризуемся если совпадает ваще шедеврально! Авторизуюсь на своем компе по своим логином, нахожу куку - в ней меняю логин на логин какой хочу... вуаля! я авторизован под другим пользователем
Так делать нельзя. В общем виде пользователя должен идентифицировать токен, уникальный для него и не связанный напрямую с его данными. Иначе вы открываете возможность подмены пользователя для атакующего. К примеру, сессии в php. Идентификатор сессии уникален для конкретного сеанса конкретного пользователя.