«Remember me on this computer»

посредством установки куки в клиентский браузер.

Пользователю вешаются куки, по которым он впоследствии идентифицируется.

Эти куки должны быть "долгоживущие", то есть не удаляться с окончанием сессии.

В качестве кук должны быть:

1) user_id 2) sha1(user_password)

Правильно?

Да, можно и так.

Открой [перловый/рубишный/пхпшный] session и посмотри.

> 1) user_id 2) sha1(user_password)


достаточно некий уникальный session ID херачить в куку. только нужно написать некий алгоритм, чтобы 100% быть уверенным что сгенеренный SID уникален. если PHP, то например вот так -

list($us, $s) = explode(' ', microtime());
$seed = (float) $s + ((float) $us * 1000000);
if (isset($_SERVER["REMOTE_ADDR"])) $seed += (float) ip2long($_SERVER["REMOTE_ADDR"]);
if (isset($_SERVER["REMOTE_PORT"])) $seed += (float) $_SERVER["REMOTE_PORT"];
srand($seed);
define('SESSION_ID', md5(uniqid(rand(), true)));


и также, хранить его в базе на серваке и по нему идентифицировать юзера. хэши паролей хранить в куке - не очень хорошая идея.

да, а чекбокс "Remember me on this computer" просто напросто говорит скрипту, ставящему/обновляющему куку, что кука проэскпайрится в очень далеком будущем, году так в 2020...

ну и, конечно же, обязательно чекать, принимает ли клиентский браузер куки. если нет - то выводить некий варнинг.

кстати необязательно. все больше приложений последнее время хранят куки две недели\месяц. иногда так и написано "remember me for two weeks", и ИМХО это правильно

>1) user_id

Такой кук делать не надо, если id выдаются по порядку. Куки можно поменять.

ну например, гугловская кука у меня в браузере обещает проэкспайрится 17.01.2038 22:14:07. а вообще, такие вещи можно делать настраиваемыми в профиле пользователя.