Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Bonjour à tous,
Quel est le meilleur pour vous ?
- On authentifie une fois, on enregistre dans la session l'identifiant de l'utilisateur et son pseudonyme, et c'est tout.
- On enregistre son nom d'utilisateur et son mot de passe, et on authentifie à chaque requête, et on récupère ce qui nous intéresse.
Pour le premier, je vois un gain de performance car ça économise une requête à chaque requête HTTP. Pour le deuxième, je vois un gain de sécurité (même en ayant accès en écriture à la session, il faut connaître l'identifiant et le mot de passe de la personne visée), et un gain de stabilité (si l'utilisateur est supprimé entre sa connexion et sa déconnexion, cela nous évite d'avoir un utilisateur "fantôme").
Mais si on contre argumente, l'utilisateur n'est pas censé être supprimé (sauf si prévu par l'application, à ce moment là on prévoit la déconnexion avec), et surtout pas l'écriture dans la session (mais au fond, on hash les mots de passe en base de données, c'est donc que l'on prévoit le pire ).
La question n'est pas directement liée à Zend::Auth, mais c'est quand même sur le même sujet.
Merci d'argumenter si possible votre réponse, et merci par avance pour vos réponses.
Hors ligne