Как лучше сделать?
1 - После регистрации записываю в БД логин и пароль в md
2 - Авторизация - сравниваем логин, пароль (что лучше записать в сессию, советуют записывать - логин + случайный код, который хранится в БД и после выхода стирается, а потом создаётся новый.
3 - Выход, стираем сессию.
_____________
Принимаю заказы, писать в ЛС
Полная Версия: Регистрация, авторизация, выход.
+ Подтверждение регистрации (защита от роботов, отправлять смс с паролем) Если получиться подружить 3G модем с php. Тема кстати: Вопросы Медведя
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
Медведь
Помню как то читал такую интересную статью про авторизацию, пароли и heartbleed: https://medium.com/@ninjudd/passwords-are-o...ete-9ed56d483eb
Основные пункты статьи про авторизацию без паролей:
1. Вместо того что бы просить пользователей ввести пароль когда они входят в систему, просто попросите их логин (или email или номер телефона).
2. Создайте временный код для авторизации на сервере и положите на хранение в вашу базу данных.
3. Пошлите пользователю SMS или письмо на email с этим временным кодом.
4. Пользователь нажмет на ссылку которая откроет ваш сайт/приложение которое пошлет ваш код авторизации на ваш сервер.
5. На вашем сервере, подтвердите на валидность и отдайте пользователю долго живущий токен, который будет хранится в базе данных и на клиенте.
6. Пользователь авторизован, и ему не надо повторять этот процесс заново пока токен не истечет или он(а) не захочет зайти заново с другого устройства.
А так вообще у Вас вроде бы звучит нормально
_____________
Мой блог
Помню как то читал такую интересную статью про авторизацию, пароли и heartbleed: https://medium.com/@ninjudd/passwords-are-o...ete-9ed56d483eb
Основные пункты статьи про авторизацию без паролей:
1. Вместо того что бы просить пользователей ввести пароль когда они входят в систему, просто попросите их логин (или email или номер телефона).
2. Создайте временный код для авторизации на сервере и положите на хранение в вашу базу данных.
3. Пошлите пользователю SMS или письмо на email с этим временным кодом.
4. Пользователь нажмет на ссылку которая откроет ваш сайт/приложение которое пошлет ваш код авторизации на ваш сервер.
5. На вашем сервере, подтвердите на валидность и отдайте пользователю долго живущий токен, который будет хранится в базе данных и на клиенте.
6. Пользователь авторизован, и ему не надо повторять этот процесс заново пока токен не истечет или он(а) не захочет зайти заново с другого устройства.
А так вообще у Вас вроде бы звучит нормально
_____________
Мой блог
| Цитата (Медведь @ 16.12.2014 - 19:11) |
| Как лучше сделать? 1 - После регистрации записываю в БД логин и пароль в md 2 - Авторизация - сравниваем логин, пароль (что лучше записать в сессию, советуют записывать - логин + случайный код, который хранится в БД и после выхода стирается, а потом создаётся новый. 3 - Выход, стираем сессию. |
Какие еще есть соображения?
Медведь, в описанном тобой алгоритме отсутствует хранение данных в клиентской части. Поэтому при каждом входе на страницу будет требоваться авторизация, ввод данных юзером. То есть, короче говоря, юзер никогда не будет авторизован.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
md-упоротая ересь. Юзай sha2
Не давно начал начал изучать как сделать безопастную авторизацию и наткнулся на эту статью:
http://andreisoroka.com/post-6.html
на основе ее щас делаю себе, только не вижу смысла блочить юзеров по ip. поэтому я опустил это в своем скрипте. глянь может статья поможет, даст идею
http://andreisoroka.com/post-6.html
на основе ее щас делаю себе, только не вижу смысла блочить юзеров по ip. поэтому я опустил это в своем скрипте. глянь может статья поможет, даст идею
Здесь расположена полная версия этой страницы.