Меню
Что нового?

Алгоритм правильной аутенфикации, подскажите, пожалуйста.

Духовность™

Духовность™

Продвинутый новичок
я обычно в куках отсылаю

ID юзера в базе

Hash от md5(логин+хэш_пароля+соль)

выборка идет следующая:

[sql]SELECT * FROM table WHERE id = $id AND
MD5(CONCAT(user_login, user_password, "$salt")) = "$md5_hash_from_cookie"[/sql]

и всё собственно.
 

dimagolov

Новичок
triumvirat, это позволяет один раз украв куку юзать ее до смены пароля. допустимо это или нет нужно обсуждать по месту, но для админов я бы такого не делал.
 

storng

Новичок
Автор оригинала: dimagolov
triumvirat, это позволяет один раз украв куку юзать ее до смены пароля. допустимо это или нет нужно обсуждать по месту, но для админов я бы такого не делал.
Нажмите для раскрытия...
Почему? Можно ведь также кроном соль менять раз в месяц.
 
Духовность™

Духовность™

Продвинутый новичок
Автор оригинала: dimagolov
triumvirat, это позволяет один раз украв куку юзать ее до смены пароля. допустимо это или нет нужно обсуждать по месту, но для админов я бы такого не делал.
Нажмите для раскрытия...
какое есть более лучшее средство чем это? давай обсудим, коли уж тема про это.
 

storng

Новичок
Да,да тоже бы хотелось услышать разные варианты и сообща выбрать подходящий :)
 

iceman

говнокодер
triumvirat
зачем хранить хеш пароля в кукисах? или я не въезжаю?
 

storng

Новичок
Автор оригинала: iceman
triumvirat
зачем хранить хеш пароля в кукисах? или я не въезжаю?
Нажмите для раскрытия...
Ну там на сколько я понял сборный хеш, отдельно хеш пароля не хранится.

Хотя опять же, при смене пароля посетитель должен будет снова авторизоваться (хотя это в принципе нормально)

-~{}~ 08.04.10 11:46:

Может не стоит действительно заморачиваться с этим, хранить абсолютно уникальный 64-байтный идентификатор в куках.
Ведь если, предположим, что злоумышленник украл куку, то он в любом случае получит доступ к ресурсу, и сможет выполнить ряд действий.
Другое дело уже технически, особо важные процессы нужно будет подтверждать паролем (скажем биллинг, и т.п.)

Как вы думаете?

И по поводу сессий, всё таки что лучше, обращаться каждый раз на каждой странице к БД по этому уникальному идентификатору и получать роли и др. информацию для отображения страницы и т.п, либо при первом заходе и обращении в БД всю эту полученную информацию копировать в сессию, и далее на время сеанса пользователя работать только с сессиями?
 
Фанат

Фанат

oncle terrible
Команда форума
некоторые хранят сессии в базе
некоторые умирают от страха, что они забанят пользователя, а он еще будет лазить по сайту, пока не разлогинится
у некоторых сессия стартует автоматом по получении куки, и разницы при этом - что есть сессия, что ее нету - никакой.

у всех все разное. идевального варианта нету.
 

storng

Новичок
Автор оригинала: *****
некоторые хранят сессии в базе
некоторые умирают от страха, что они забанят пользователя, а он еще будет лазить по сайту, пока не разлогинится
у некоторых сессия стартует автоматом по получении куки, и разницы при этом - что есть сессия, что ее нету - никакой.

у всех все разное. идевального варианта нету.
Нажмите для раскрытия...
Понятно, в общем каждый разработчик выбирает способ наиболее подходящий своим потребностям.

Спасибо всем за обсуждение, много нового для себя открыл, и теперь есть над чем ещё можно задуматься :)
 

iceman

говнокодер
украл не украл, тебе то чо, ты лучше постарайся помешать украсть эту куку...
 
Духовность™

Духовность™

Продвинутый новичок
зачем хранить хеш пароля в кукисах? или я не въезжаю?
Нажмите для раскрытия...
Ну там на сколько я понял сборный хеш, отдельно хеш пароля не хранится.
Нажмите для раскрытия...
Хотя опять же, при смене пароля посетитель должен будет снова авторизоваться
Нажмите для раскрытия...
а в сценарии смены пароля автоматически после смены его не судьба авторизовать?
 
Войдите или зарегистрируйтесь для ответа.
Сверху