Какой вид авторизации применяете вы и какие из них наиболее практичны?
_____________
Принимаю заказы, писать в ЛС
Полная Версия: Варианты авторизации
Тут, скорее всего, все будут говорить про самый распространенный метод. И это СОЛЬ. Соответственно, у каждого юзера она своя, то бишь уникальна. Сохраняешь ее в куках и по ней вытаскиваешь данные из БД. А если уж совсем не заморачиваться, то хранишь инфу в сессии 
А вообще, самому интересно, кто и что предложит
А вообще, самому интересно, кто и что предложит
Вариантов много, мне интересно кто чем пользуется, где хранятся данные в сессиях или печеньках. Привязываете ли к пользователю IP и т.п.
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
таблица с данными, таблица с входом, при авторизации смотреть на первую и делать пометку во вторую с инфой о пользователе и хеше под дивайс, повторно сравнивая куки с этими данными... или как?)
_____________
Ex3m.com.ua — Активный образ жизни
_____________
Ex3m.com.ua — Активный образ жизни
У всех так?
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
не у всех. я, например, использую более сложный механизм, который описывать достаточно долго.
ес-но, на клиенте никакой соли в печеньках, и уж тем более паролей. и никаких сессий PHPSESSION. вся инфа об авторизациях только в базе. это позволяет контролировать сессии. в куку идет id сессии (сложный хеш 32-40 сивмола) + ключ авторизации (сложный хэш 32-40 символов) + id пользователя ( храню как число в куке). ключ авторизации обновляется с той периодичностью, которую я ему задам, а это может быть от секунды до бесконечности. соотв-но если куку уведут, то врядли с ней что-то сделают, так как даже зная id сессии и id пользователя - попробуя зайти с этими данными - кука уничтожается и сессия пользователя удаляется из базы, так как она скомпрометирована.
хэш пароля при этом нигде не светится. он хранится только в базе. как и сама соль. у каждого юзера ес-но свои уникальные соли.
на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей.
ну и еще много всяких деталей, которые расписывать очень долго и нудно, но которые обеспечивают высочайший уровень безопасности системы.
ес-но, на клиенте никакой соли в печеньках, и уж тем более паролей. и никаких сессий PHPSESSION. вся инфа об авторизациях только в базе. это позволяет контролировать сессии. в куку идет id сессии (сложный хеш 32-40 сивмола) + ключ авторизации (сложный хэш 32-40 символов) + id пользователя ( храню как число в куке). ключ авторизации обновляется с той периодичностью, которую я ему задам, а это может быть от секунды до бесконечности. соотв-но если куку уведут, то врядли с ней что-то сделают, так как даже зная id сессии и id пользователя - попробуя зайти с этими данными - кука уничтожается и сессия пользователя удаляется из базы, так как она скомпрометирована.
хэш пароля при этом нигде не светится. он хранится только в базе. как и сама соль. у каждого юзера ес-но свои уникальные соли.
на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей.
ну и еще много всяких деталей, которые расписывать очень долго и нудно, но которые обеспечивают высочайший уровень безопасности системы.
| Цитата (depp @ 5.02.2016 - 22:11) |
| но которые обеспечивают высочайший уровень безопасности системы |
Да кто же ломится в лоб в пароли? Кому они нужны? Это моветон.
Отлично защищенные пароли, это не более чем вот это:
_____________
[продано копирайтерам]
| Цитата (depp @ 6.02.2016 - 00:11) |
| на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей. |
каким способом ip наверняка определить, например если он динамичный? Если не тайна.
| Цитата (casper - gg @ 6.02.2016 - 07:21) |
| каким способом ip наверняка определить, например если он динамичный? Если не тайна. |
Точно таким же, как и статичный.
_____________
[продано копирайтерам]
AllesKlar, речь шла не об определении IP как таковом, а о соотвествии определённого IP конкретному пользователю.
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (casper - gg @ 6.02.2016 - 09:21) | ||
каким способом ip наверняка определить, например если он динамичный? Если не тайна. |
Даже если динамичный, сколько раз он поменяется? ) Через прокси тоже самое, никаких денег не хватит.
Тут нужен ещё механизм отслеживания, сколько раз было неудачных попыток входа под конкретный аккаунт.
_____________
Принимаю заказы, писать в ЛС
| Цитата (AllesKlar @ 6.02.2016 - 11:50) |
| Точно таким же, как и статичный. |
| Цитата (Valick @ 6.02.2016 - 13:33) |
| AllesKlar, речь шла не об определении IP как таковом, а о соотвествии определённого IP конкретному пользователю. |
и то и другое верно. Выходит что смысл в использовании ip от "брутфорса" как бы ничего не дает. Не думаю что для подобного рода вредителей ip составляет хоть какую-то преграду. Кто же из таких будет всегда делать подборы с одного и того же ip. Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет.
| Цитата (casper - gg @ 6.02.2016 - 14:32) |
| Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет. |
ИМХО, избыточно сложно.
Сколько нужно нормальному пользователю чтобы ввести логин и пароль? Секунд 10 как минимум.
В таблице мемберов делается поле - время запроса авторизации. Если с прошлого запроса прошло менее 10 секунд - фигу вместо авторизации. Независимо от айпишника. И пусть желающие брутфорсят с задержкой в 10 секунд... пока не состарятся.
_____________
Бесплатному сыру в дырки не заглядывают...
FatCat А запоминание логинов и паролей бразером, чтобы нажать на кнопку нужна 1-2 секунды.
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
| Цитата (FatCat @ 6.02.2016 - 14:08) |
| Сколько нужно нормальному пользователю чтобы ввести логин и пароль? Секунд 10 как минимум. |
лютый +
Вот этим и отличается здравый разум от горя от ума, коим любят некоторые тыкать, наивно полагая, что оно кому-то будет интересно.
| Цитата (Медведь @ 6.02.2016 - 14:13) |
| FatCat А запоминание логинов и паролей бразером, чтобы нажать на кнопку нужна 1-2 секунды. |
Твой браузер либо запомнил правильную пару логин/пароль, и авторизация прошла без задержки, либо неправильную пару, и тебе придется вводить заново, а это уже
| Цитата |
| Секунд 10 как минимум. |
_____________
[продано копирайтерам]
Здесь расположена полная версия этой страницы.