My<cod/>.net
Как бы вы реализовали аутентификацию на основе FORM без резервной базы данных?
У меня есть сценарий PHP, который работает как программа CGI, а заголовок HTTP Authenticate съедается и выплевывается. Поэтому я хотел бы реализовать какую-то аутентификацию на основе FORM. В качестве дополнительного ограничения отсутствует база данных, поэтому данные сеанса не могут быть сохранены.
Я очень открыт для того, чтобы иметь мастер-имя пользователя и пароль. Мне просто нужно защитить приложение от злоумышленника, который не знает эти учетные данные.
Так как бы вы это реализовали?
Печенье?
Я могу представить форму, и если она подтвердится, я могу отправить обратно файл cookie, который является hash из IP адреса и секретного кода. Тогда я могу запретить отображение страниц, если вещь не расшифровывается правильно. Но я понятия не имею, как реализовать это в PHP.
Есть несколько способов сделать это.
- htaccess -- есть ваш webserver дескриптор, обеспечивающий безопасность рассматриваемых страниц (хотя и не совсем на основе формы cgi).
- Используйте файлы cookie и какой-то алгоритм хэширования (md5 достаточно хорош), чтобы хранить пароли в плоском файле, где каждая строка в файле равна username:passwordhash. Не забудьте посолить хэши для дополнительной безопасности против радужных таблиц. (Этот метод немного наивен... будьте очень осторожны с безопасностью, если вы идете этим маршрутом)
- используйте что-то вроде базы данных sqlite только для обработки аутентификации. Sqlite является компактным и достаточно простым, чтобы он все еще мог удовлетворить ваши потребности, даже если вы не хотите иметь большой сервер БД.
Теоретически, вы также можете хранить данные сеанса в плоском файле, даже если у вас нет базы данных.
Если вы сейчас используете Authenticate, то у вас уже может быть файл htpasswd . Если вы хотите продолжить использование этого файла, но переключитесь на использование аутентификации на основе FORM, а не через заголовок Authenticate, вы можете использовать сценарий PHP для использования того же файла htpasswd и использовать сеансы для поддержания статуса аутентификации.
Быстрый поиск Google для php помощью пароля через htpasswd раскрывает эта страница с функцией PHP для проверки учетных данных с помощью пароля через htpasswd. Вы можете интегрировать его (предполагая, что у вас есть сеансы, настроенные на автозапуск) с некоторым кодом, подобным этому:
// At the top of your 'private' page(s):
if($_SESSION['authenticated'] !== TRUE) {
header('Location: /login.php');
die();
}
// the target of the POST form from login.php
if(http_authenticate($_POST['username'], $_POST['password']))
$_SESSION['authenticated'] = TRUE;
Вам действительно нужна форма? Независимо от того, что вы делаете, вы ограничены известным именем пользователя и паролем. Если они это знают, то получают ваше волшебное печенье, которое им позволяет. Вы хотите запретить им видеть страницы, если они не знают секрет, и базовая авторизация делает это, легко настраивается и не требует много работы с вашей стороны.
Вам действительно нужно видеть заголовок авторизации, если веб-сервер заботится о контроле доступа для вас?
Кроме того, если вы предоставляете приложение известному списку людей (а не общественности), вы можете предоставить доступ web-server-based по другим факторам, таким как входящий адрес IP, сертификаты клиента и многие другие вещи, которые являются вопросом конфигурации, а не программирования. Если бы вы объяснили свои ограничения безопасности, мы могли бы предложить лучшее решение.
Удачи, :)