- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В Интернете полно статей, знаю. Но что-то мне они все тяжеловато даются в связи с тем, что у меня как-то нет в голове полной картины. Вернее, она у меня есть, но я не уверен в ее правильности. Может быть я что-то концептуально упускаю или искажаю.
Итак, ниже я бы хотел описать как я понимаю процесс. Вы подправьте меня, если что, а в деталях я уже тогда сам легко (я надеюсь) разберусь. Ну или снова сюда прибегу с вопросами :)
1) Когда юзер в первый раз запрашивает закрытую страницу, сервер по отсутствию идентификатора сессии (берется из кукисов, передаваемых браузером серверу) определяет, что юзер не авторизован и, соответственно, вместо закрытой страницы...
2) Подсовывает (или редиректит) ему страницу авторизации, где юзер вводит пару логин/пароль и отправляет их на сервер (по желанию, браузер клиента может захэшировать пароль)
3) Сервер проверяет данные на валидность и, если все хорошо, создает ему уникальный идентификатор сессии (который на стороне сервера можно сохранить в отдельной таблице или в специальном столбце таблицы users) и выдает клиенту кукис с эказанным идентификатором + редирект на закрытую страницу.
4) Браузер клиента сохраняет идентификатор сессии в кукисах и будет его каждый раз выдавать серверу при запросе новых данных.
5) При нажатии "Выход" сервер просто обнуляет сессию. Либо сессию можно обнулять автоматически по истечении некоторого времени.
Пока писал все это все же возникли вопросик: Все, что я описал выше - легко кодится и вроде бы у меня для этого знаний хватает. Однако, в PHP есть встроенный механизм поддержки сессий: он делает все то, что я описал выше? Это как-то может мне упростить задачу? Или лучше не связываться?
Спасибо заранее!!!
Более-менее правильно.
1. Помнить о том, что все, что приходит с клиента - не безопасно!
2. Тот процесс что вы описали, все же аутентификация а не авторизация.
3. Аутентификация должна проходить по токенам.
4. Для проверки хешей паролей использовать password_hash() и password_verify(), и никаких ==.
Ещё про http://www.php-fig.org/psr/psr-7/ можете почитать.
Более-менее правильно.
1. Помнить о том, что все, что приходит с клиента - не безопасно!
2. Тот процесс что вы описали, все же аутентификация а не авторизация.
3. Аутентификация должна проходить по токенам.
4. Для проверки хешей паролей использовать password_hash() и password_verify(), и никаких ==.
Ещё про http://www.php-fig.org/psr/psr-7/ можете почитать.
2. Да, пожалуй, аутентификация. Не задумывался о таких тонкостях.
3. Вы пишете "Аутентификация должна проходить по токенам" - вы не поясните что вы имеете в виду? Что за токены?
4. Пробежался по мануалам этих функций и что-то не уловил чем это может быть луче md5(), например?
4. Пробежался по мануалам этих функций и что-то не уловил чем это может быть луче md5(), например?
http://php.net/manual/ru/faq.passwords.php - вот тут написано
если коротко, то тут неплохо изложено http://getjump.me/ru-php-the-right-way/#Безопасность
http://php.net/manual/ru/faq.passwords.php - вот тут написано
Спасибо за ссылочки! Обе очень полезные и познавательные!
---------- Добавлено 23.01.2017 в 15:20 ----------
если коротко, то тут неплохо изложено http://getjump.me/ru-php-the-right-way/#Безопасность
Спасибо большое!