Je ressors un outil dont le dev a commencé il y a 9 ans, et j'y trouve des trucs bizarres au niveau de la gestion du profil et de l'authentification... je creuse un peu et j'ai failli me faire vomir moi-même en voyant l'ignominie réalisée x_x :
Plutôt que de gérer des jetons d'authentification, j'ai un objet user qui est créé, avec toutes les connexions diverses et variées auxquelles le user a droit. Pour conserver les données, l'objet est sérialisé et enregistré ainsi dans une variable du cookie de session. Tout l'objet. Y compris les informations de connexion (donc les identifiants/mots de passe).
Ca reste côté serveur, mais c'est glauque x_x (je précise que c'est un service qui n'est pas sur Internet mais en interne, et limité, donc possibilité d'attaques effectives quasi nulles, mais merde quoi, comme j'ai pu chier ça ?!).