My<cod/>.net
Результаты поиска
Найдено результатов: 12
Пишу систему авторизации. Несколько вопросов
Пишу, вернее, модернизирую систему управления юзерами для сайта небольшого интернет-магазина. В процессе работы над алгоритмом возникли четыре вопроса:
1. Есть ли смысл при регистрации нового юзера посылать ему письмо, заставляя активировать аккаунт, пройдя по некой ссылке, или лучше обойтись без этого?
2. Допустим, юзер зарегистрирован. Имеет ли смысл в форме входа, кроме логина и пароля, предусмотреть чекбокс «Запомнить меня», или запоминать всех по умолчанию, сводя к минимуму разные вопросы?
3. При успешной авторизации я пишу в сессию логин и двойной хэш пароля из базы (в базе, само собой, хранится двойной хэш пароля), а также пишу в куку некий token для автологина:
$token = md5(time().$username);
setcookie('token', $token, time ( ) + 2592000, "/");
$res = $db->query("UPDATE users SET token = '".$token."' WHERE username = '".$username."'");
Разные учебные пособия, сайты и форумы по-разному решают эту задачу. В чем минусы моего решения? Имеет ли смыл добавлять «соль», например к хэшу пароля или в token:
define('MY_SALT', 'KEJ2FHE#WJFHW758');
4. При обращении к каждой страницы сайта я проверяю, есть ли данные сессии, а потом у меня идет обязательный запрос к базе данных, примерно такой:
if ( isset ( $_SESSION["username"] ) && isset ( $_SESSION["userpass"] ) ) {
$db->query("SELECT * FROM users
WHERE username = '".$_SESSION["username"]."'
AND userpass = '".$_SESSION["userpass"]."'
.....}
Но некоторые пособия и учебники делают просто: если есть данные сессии, показывают страницу, если нет — не пускают, при этом запроса к базе данных нет, например:
if(isset($_SESSION['user_data']))
$message[] = "Приветствуем Вас, ". htmlspecialchars($_SESSION['user_data']['login']) ."! Рады видеть Вас на сайте";.........................
Как на ваш взгляд более грамотно? Спасибо.
setcookie('token', $token, time ( ) + 2592000, "/");
$res = $db->query("UPDATE users SET token = '".$token."' WHERE username = '".$username."'");
$db->query("SELECT * FROM users
WHERE username = '".$_SESSION["username"]."'
AND userpass = '".$_SESSION["userpass"]."'
.....}
$message[] = "Приветствуем Вас, ". htmlspecialchars($_SESSION['user_data']['login']) ."! Рады видеть Вас на сайте";.........................
Какие аггрегаторы социальных логинов вроде rpxnow вы знаете?
Пишу кое-какой сервис и узнал о существовании такой штуки как rpxnow.com.
Он позволяет повесить на сайт виджет с методами логина (facebook, google и т.д.), из которых пользователь может выбрать удобный ему. Разработчику же (т.е. мне) остается получить уникальный идентификатор и имя пользователя (а также дополнительную информацию в зависимости от выбранного пользователем метода). Довольно удобно, однако обнаружился ряд недостатков (начиная от невозможности хоть как-то настроить внешний вид виджета и заканчивая слишком частой необходимостью повторной авторизации).
Вот и интересно, существуют ли аналоги.
Как задавать относительные пути к .htpasswd?
AuthType Basic<br/>
AuthName "Say the password or bite my shiny *ss"<br/>
AuthUserFile /home/u*****/example.com/foo/.htpasswd <br/>
Require valid-user<br/>
Как можно задать относительный путь к .htpasswd, чтобы работало?
В данном случае нужно, чтобы этот стандартный .htaccess-ный файл можно было закачать в репозиторий и затем использовать его в любом проекте, поэтому абсолютные пути (как в этом примере) указывать как-то не хочется.
AuthType Basic<br/>
AuthName "Say the password or bite my shiny *ss"<br/>
AuthUserFile /home/u*****/example.com/foo/.htpasswd <br/>
Require valid-user<br/>
Cookie в Android
Можно ли в приложении получить куки браузера Android и применить их для HttpClient (HttpClient парсит страницу, в которой пользователь должен быть авторизован, для этого и нужны куки)? Если да, то как. Заранее благодарен!
безопасная авторизация без учета айпи
доброй ночи.
пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи)
перечитав несколько статей не смог найти выход.
авторизация:
есть несколько способов
способ 1:
юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию.
способ 2:
при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки.
теперь функция запомнить мои данные на этом компьютере.
тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход?
спасибо
Компьютерные
сети
Идентификация
пользователей
Информационная
безопасность
414 6 02:59, 17th August, 2020
414 6 02:59, 17th August, 2020
Squid +авторизация ActiveDirectory
Перевел офис на активдиректори. Сейчас стоит squid+sams и пользователи живут там независимо от АД. Решил сделать прозрачную авторизацию, теперь сквид авторизует пользователей из АД без запроса логина\пароля. Встал вопрос о надежности, если АД подвиснет — пользователи останутся без интернета. Какие тут есть варианты создания прокси с прозрачной авторизацией.
FaceBook login, а точнее logout
Добрый день,
Меня интересует вопрос по Facebook login — как его подключить и использовать понятно, но вот как производить выход пользователя с сайта — разлогинивать его только на сайте или еще и на FB?
Разлогинивать его на FB технически не проблема, вопрос этический.
Решил посмотреть как это делают стартапы, у большинства (из тех у кого есть FB login) кнопка «Выйти» либо не работает, либо отсутствует, т.е. разлогиниться на сайте нельзя вообще.
Авторизация через Вконтакте и безопасность
Многие веб-сайты сейчас дают возможность авторизовываться посредством других популярных веб-сервисов (Вконтакте, Фейсбук и т. п.)
Вопрос: если у человека угонят аккаунт Вконтакте, то и на тех сайтах, где он авторизовывался через Вконтакте, злоумышленник сможет творить, что угодно?
Я правильно рассуждаю?
Facebook
Компьютерные
сети
ВКонтакте
Социальные
сети
Идентификация
пользователей
Информационная
безопасность
383 4 15:25, 21st August, 2020
383 4 15:25, 21st August, 2020
Авторизация Вконтакте cURL
Используем эту соцсеть для хранения видео.
Написан парсер, который по крону забирал новые видео. Но вот проблема, команда ВК ввела новые политики безопасности. Теперь при попытке авторизоваться из новой страны (а сервер у нас где-то на территории Германии) ВК спрашивает последние цифры номера телефона и скрипт не может авторизоваться.
Покапался, увидел интересные строчки
var params = {act: 'security_check', code: ge('code').value, to: 'dmlkZW9xMTMfsMzE4NTk2', al_page: '', hash: 'a74cb4bc5b0a579a28'};
ajax.post('login.php', params, {....
Пробовал отправить, все тщетно. Проблема осложняется тем что невозможно произвести это действие и посмотреть что куда отправляется.
Может быть есть такие же бедалаги? Кто-нибудь что-нибудь подобное делал?
ajax.post('login.php', params, {....