Алгоритм аутентификации

[PhpGuest]

Автор оригинала: ecto
от снифера спасет только защищенное соединение - например ssl.

хранить пароль и пользователя в сессии глупо

а если хранить не в явном виде а например зашифровать двухсторонним криптоалгоритмом?

аутентификация - и последующяа авторизация на каждой странице???
логично в сесси хранить уровень доступа (например).
После авторизации он изменятся.

тогда как отрубить пользователя от системы в процессе сеанса?

хранить куку с номером сессии нужно до закрытия окна
(собственно по умолчанию она так и хранится)

это не всегда удобоно - многи пользователи жалуются что каждый раз при заходе на сайт нужно вводить пароль

на сервере пароль хранится в зашифрованном виде -
это риторический вопрос - смысл его - хозяин сервера не знает пароли пользователей.

ну смысл еще и в защите паролей

 

[Дмитрий Попов]

PhpGuest

тогда как отрубить пользователя от системы в процессе сеанса?

Отрубить уровень доступа.

Опять Вы путаете два понятия:
1) Авторизация на сайте. Это - то очень мы и говорим.
2) Авторизация в сессии. Если прошла авторизация на сайте - то можно авторизовывать человека в сессии.

Причем два этих механизма должны быть независимы друг от друга.
так вот - долгое хранения статуса авторизации - это относится к механизму авторизации на сайте.
И если пользователь авторизовался на сайте - то независимо от того каким именно способом он это сделал - происходит авторизация в сессии.

Причем сессия - это совсем не обязательно механизм встроенный в PHP. Сессия - это сеанс работы пользователя с сайтом. Сеанс.
И если Вы поймете это. И будете действительно разделять два эти понятися (как на логическом так и физическом уровне) проблем будет гораздо меньше.

это не всегда удобоно - многи пользователи жалуются что каждый раз при заходе на сайт нужно вводить пароль

Вы тоже путаете понятие сессии и авторизации.
Если пользователь хочет помнить пароль - то ему, безусловно, надо писать данные (хещ пароля ли, уникальное число и т.д.) для последующей его авторизации.
А уже скриптом определять - если этот хеш или уникальное число имеется - авторизовать пользователя в сессии. Если нет - неавторизовывать.

 

[betik]

на сервере пароль хранится в зашифрованном виде -
это риторический вопрос - смысл его - хозяин сервера не знает пароли пользователей.

можно хранить в другой базе.. текстовой например закрытой хтаассесом... или мускульной... Без прав на чтение..

 

[NOT NULL]

Сессии явно не предназначены для хранения паролей на сервере по 10-20 лет, это называется делать через жо*у. Попов прав.

 

[Дмитрий Попов]

betik
Вы вообще не поняли о чем шла речь в этой теме. Прочитайте её еще пару раз. не поймете - возвращайтесь через полгодика.

 

[ViD]

На мой взгляд хранить ни пароль ни логин на клиенте не стоит. Лучше всего хранить факт последнего удачного логина, а на серваке проверять IP кто логинился, в случае не совпадения заставлять логиниться, противников сего бить ногами или пинать в сторону roboform.

 

[crocodile2u]

Честно говоря, в этом сумбуре поставленной проблемы я вообще не понял. Объясните, что в конце концов нужно-то?

Если проблема с организацией аутентификации (как и называется топик), то смотрите
http://pear.php.net/manual/en/package.authentication.php