Dam
Guest
Организация авторизации и аутентификации
Уважаемые девелоперы.
По поводу авторизации много написано, я искал но так и не нашел ответа на вопрос: есть ли недостатки http-авторизации? Дело в том, что раньше я использовал именно эту авторизацию. Но проекты были простые, информация в них не такая важная, поэтому над вопросами авторизации я как-то особо не задумывался.
Для нового проекта я сначала прикрутил модуль PEAR/Auth, чтобы не писать свой (времени не так много, да и опыта). Однако этот модуль мне не очень понравился (слишком большой, он ведь предусматривает и работу на PHP старых версий). Поэтому вернулся к идее авторизации посредством http. Правда на этот раз нужно было ещё сделать аутентификацию. Аутентификацию я раньше не делал, но насколько понял алгоритм вкратце такой:
1. юзер авторизируется.
2. из базы делается выборка его прав.
3. данные загружаются в сессию и путешествуют по всем страницам админ-части.
4. при переходе на другую страницу в пределах админ-части, данные авторизации обновляются, и если время превышает столько-то минут сессия обнуляется
Не заблуждаюсь ли я? Правильно ли моё представление об авторизации и аутентификации?
Уважаемые девелоперы.
По поводу авторизации много написано, я искал но так и не нашел ответа на вопрос: есть ли недостатки http-авторизации? Дело в том, что раньше я использовал именно эту авторизацию. Но проекты были простые, информация в них не такая важная, поэтому над вопросами авторизации я как-то особо не задумывался.
Для нового проекта я сначала прикрутил модуль PEAR/Auth, чтобы не писать свой (времени не так много, да и опыта). Однако этот модуль мне не очень понравился (слишком большой, он ведь предусматривает и работу на PHP старых версий). Поэтому вернулся к идее авторизации посредством http. Правда на этот раз нужно было ещё сделать аутентификацию. Аутентификацию я раньше не делал, но насколько понял алгоритм вкратце такой:
1. юзер авторизируется.
2. из базы делается выборка его прав.
3. данные загружаются в сессию и путешествуют по всем страницам админ-части.
4. при переходе на другую страницу в пределах админ-части, данные авторизации обновляются, и если время превышает столько-то минут сессия обнуляется
Не заблуждаюсь ли я? Правильно ли моё представление об авторизации и аутентификации?