Меню
Что нового?

Как хранить уровень доступа к странице

4m@t!c

Александр
Как хранить уровень доступа к странице

При авторизации выдаю куку-хеш клиенту, а так же сохраняю у себя в БД. Далее сравниваю куку-хеш, проверкой куки-хеша и ИП адреса в БД.
Вопросы.
1. Лучше сравнивать куку клиента через БД; или создать пару переменных сеанса , один раз их проинициализировать при старте сесси, и потом сравнивать с данными от клиента?
2. на сколько будет отличаться безопасность в каждом из случаев?
 

Кром

Новичок
Безопасность зависить не от того, где лежит твой хеш, а от того, насколько это место защищено от посторонних.
 

vladax

Новичок
я бы вытащил из базы разрешения, вложил бы в сессию и отпускал бы выдачу в соответствии с сессионными параметрами.
и никаких проблем с безопасностью.
 

Кром

Новичок
vladax
А что ты подразумеваешь под "вложить в сессию разрешения и отпускать выдачу", причем "в соответствии с сессионными параметрами"?
 

vladax

Новичок
$_SESSION['some_permission']=1;
-------------------------------
if ($_SESSION['some_permission']) ...
else ...
 

4m@t!c

Александр
Хеш у меня генерится случайно, он не зависит от имени клиента, пароля и т.д. на стороне клиента он хранится в куке, на моей стороне в БД однозначно, а вот выкладывать его в сессию - я не знаю.. на сколько сессия уязвима и уязвимей ли БД - я не знаю.. опыта-то нет. вот и спрашиваю, есть ли смысл перекинуть все на сессию? как вы понимаете, проверку я делаю. что бы дать или запретить доступ к странице., и не хотелось бы что бы закрытая инфа была доступна.
 

SiMM

Новичок
Erise, не надо давать ссылки на такие древние статьи - достаточно прочесть FAQ
 

4m@t!c

Александр
я так понимаю - по безопасности - разницы никакой.. Т.е. можно юзать сессию и не переживать сильно..;)))
 

vladax

Новичок
4m@t!c
сначала прочти FAQ про сессии, потом будешь понимать :)
 

4m@t!c

Александр
Хм... я этот ФАК уже раз 5-й читаю, и каждый раз узнаю что-то новое...
В частности, именно так работают все популярные системы авторизации:
- по факту идентификации пользователя стартует сессия и признак авторизованности передается в ней.
- Если надо "запомнить" пользователя, то ему ставится кука, его идентифицирующая.
- При следующем заходе пользователя на сайт, для того, чтобы авторизоваться, он должен либо ввести пароль, либо система сама его опознает по поставленной ранее куке, и стартует сессию. Новую сессию, а не продолжая старую.
Нажмите для раскрытия...
 
Войдите или зарегистрируйтесь для ответа.
Сверху