Меню
Что нового?

аутентификация. Сессии.

cheryi

Новичок
аутентификация. Сессии.

я ваще можно сказать ламер. Но в голову ничего не пришло кроме этого.(корпорация - юзерские настройки и ПО у всех один в один). В сессии храню только md5 uid, ip c префиксом, передаю куками (пароля в куках нет, следовательно нет авто входа). Про проверку по ip уже говорили, как о не надежном способе. Кроме этого при каждой успешной авторизации юзера создается случайная переменная str, которая записывается в таблицу: uid, str, timestamp. Юзеру приходится "таскать" с собой и отправлять серваку эту переменную POSTом или ГЕТом. Вот такая вот муть. Что по этому поводу скажете? как такой вариант с переменной?
Не знаю, слишком ли это тупо, но пока держица. Были еще идеи писать агента на java стаскивать у юзера еще какие-то данные, например имя машины. Но уровни безопасности...
 
Dreammaker

Dreammaker

***=Ф=***
Если я правильно понял, то реализуешь стандартный механизм сессий своим способом и возможно не лучшим.

Как тут не порекомендовать http://phpfaq.ru/sessions
 

cheryi

Новичок
да, стандартный механизм сессий, плюс дополнительная таблица и переменная. При каждом обращении к странице, выполняется запрос на соответствие генерируемой переменной. Вот это меня интересует, будет ли правильно использовать вот такое.
 
Dreammaker

Dreammaker

***=Ф=***
Я повторюсь:
>Как тут не порекомендовать http://phpfaq.ru/sessions

Есть волшебное выражение, которые, наверное, как нельзя лучше подходит к этому случаю: зачем изобретать велосипед?

Для начала нужно задать себе вопрос: Чем этот (реализованный на данный момент) способ лучше, чем стандартный механизм?
 

cheryi

Новичок
тю, но именно в http://phpfaq.ru/sessions ничего нет даже про "отпечатки" типа $_SERVER['HTTP_USER_AGENT'] или HTTP_HOST.
ничего нет про префиксы. Там ваще помойму только общие сведение о работе сессий. А изобретать надо, потому что никто не застрахован от багов, даже профи.
 
Dreammaker

Dreammaker

***=Ф=***
Вот как раз из-за этого и нежелательно в данной ситуации изобретать.
Тем более:
>Вот такая вот муть.
Можно расширить функционал стандарта, но делать то, в чём сам не уверен, что оно эффективно работает это, ИМХО, не совсем эффективный механизм.

а о $_SERVER['HTTP_USER_AGENT'] там нет потому что оно и не нужно, что ты будешь делать с ним?

в общем мой тебе совет, перепиши на стандартные, повторяю стандартные сессии (которые будут работать и тогда, когда у юзера отключены куки), а потом уже расширяй. и не будешь тогда таскать по юзерским компам ни хешей, ни их ip, которое (кто знает через пару месяцев сделаете VPN или что-то подобное) может скрываться за проксями.

Если нужна большая секретность используй SSL, например.
 
Фанат

Фанат

oncle terrible
Команда форума
Кроме этого при каждой успешной авторизации юзера создается случайная переменная str, которая записывается в таблицу: uid, str, timestamp. Юзеру приходится "таскать" с собой и отправлять серваку эту переменную POSTом или ГЕТом. Вот такая вот муть. Что по этому поводу скажете?
Нажмите для раскрытия...
лично я не вижу никакого смысла в этой переменной.
ты не мог бы пояснить, как-нибудь попроще?

кроме того, вопрос в твоём посте смутно прощупывается, но не мог бы ты сформулировать его почётче?
 
Войдите или зарегистрируйтесь для ответа.
Сверху