Saludos colegas. Resulta que me viene una duda respecto a la seguridad y los tocken.
He estado leyendo sobre la seguridad web para inicio de sesión y manejo de sesiones php ($_SESSION). En lo que he leido se recomienda no guardar los usuarios y claves en las cookies, por logica, esto es fatal. En cambio recomiendan crear un token que te sirva para identificar al usuario y que cambie cada vez que se inicia sesión. Luego en la parte donde evalúas el usuario y contraseña desde el formulario de inicio de sesión, agrega un if donde verifiques si la cookie existe, buscar el token que contiene y si corresponde a algún usuario entonces usa esos datos.

Todo correcto, la duda mia es.. por ejemplo, a la hora de crear el usuario le asigno un toker único en la BD en un campo. Y al abrir la web compruebo si la cookie token existe y comparo, si existe inicio sesion y cambio la token actualizandola en la BD.

Si yo lo hago de esta manera, y salgo de la web, la cookie token permanece registrando el token de ese usuario la cual esta en BD. Si alguien me extrae la cookie token de mi usuario supongo que la puede usar, ya que al usarla esa cookie que tiene al ser comprobada va a ser igual que la existente en BD ciento?

Si es así mi seguridad se fue a la mierda... Como puedo prevenir esto. A lo mejor soy yo el que no entiende el concepto de ¨crear un token que te sirva para identificar al usuario y que cambie cada vez que se inicia sesión¨....

Por favor alguien que me pueda explicar mejor, he leido sobre esto y es todo loque logro entender...