- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Недавно обратил внимание на необычную схему авторизации в одном скрипте (Cerberus support system):
Внимание, вопрос: зачем эти "ступени" сделаны? Как-то повышается защищенность процесса авторизации?
И в догонку: к чему вообще какие-то скриптовые системы авторизации если её можно реализовать через 401-код (который Authorization Required)?
Внимание, вопрос: зачем эти "ступени" сделаны? Как-то повышается защищенность процесса авторизации?
Одна из причин: логин-пароль передаются методом post, и если контент будет выдавать тот же скрипт, то при попытке обновить страницу будет выдаваться неприятное сообщение о том, что надо бы переотправить форму.
Вторая: всем страницам, при таком подходе, нужно лишь проверять, идентифицирован пользователь или нет, а саму авторизацию проводит отдельный скрипт, который потом перенаправляет куда надо
И в догонку: к чему вообще какие-то скриптовые системы авторизации если её можно реализовать через 401-код (который Authorization Required)?
Такой способ не позволяет указать дополнительные параметры, например, популярную галочку "Запомнить"
Устаревшая какая-то у Вас система взглядов на построение скриптов :) Зачем вообще эти глупые релоады страниц? Ведь есть аякс. И куча кроссбраузерных библиотек к нему. Авторизация только на аяксе :)
Апачом авторизовывать вообще изврат - как вы себе это представляете? Щелкнул по ссылке а вместо привычной странички шняга какая-то выскочила :)
например, популярную галочку "Запомнить"
Обратите внимание в форме которую выдает ИЕ на 401 такая галочка есть и в других бродилках то же
Обратите внимание в форме которую выдает ИЕ на 401 такая галочка есть и в других бродилках то же
Галочка есть (в FF кстати нет), но работает она по-другому. Т.е. все равно окошко будет выскакивать, а хочется, чтобы ничего не выскакивало.
В общем кроме эстетики я минусов 401-авторизации не вижу.
Всем спасибо за ответы.
Mad Cat, почитайте что такое basic и другие возможные способы встроенной в веб-сервер авторизации.
Веб-форму можно передать, например, по SSL каналу. Или, встроить свой алгоритм шифрования в ActiveX, например, и передать данные ему и далее на сервер. На серверной стороне можно также хранить базу пользователей в нужном формате - с хранением паролей, без него, в общем как угодно.
Во встроенной авторизации всем в плане передачи данных заправляет браузер, а в плане самой авторизации - или веб-сервер, или авторизационная система (тот же Керберос).
К слову, если используется Кербер, то вряд ли самопальными веб формами удастся добиться такой же степени защиты. Хотя надо смотреть уже предметно почему там так все наворочено.
И в догонку: к чему вообще какие-то скриптовые системы авторизации если её можно реализовать через 401-код (который Authorization Required)?
а как Вы отмену авторизации будете делать?
Kolyaj,
Галочка есть (в FF кстати нет)
ага, рассказывай... а это что тогда:
эта галочка есть в FF чуть ли не с тех времен, когда он еще файербердом назывался.
Mad Cat,
В общем кроме эстетики я минусов 401-авторизации не вижу.
да, а теперь расскажи мне, как ты будешь с помощью панели управления заводить удалять редактировать профили новых юзверов? писать скрипт который вызвает htpasswds или кактам она? а если серве не апач?
авторизация с помощью сервера - примитивна, с ограниченным функционалом. конечно, она наверное одна из самых надежных, потому что делается на уровне сервера, а не скрипта.
robust, не путайте людей. Во-первых, уберите мой ник из цитаты, а во-вторых кроме авторизации через htpasswd есть масса других способов, которые поддерживаются и Apaсhe и IIS. Есть доменная авторизация, есть Керберос... Много чего есть.
А про какую-такую панель управления вы тут пишете вообще непонятно. ТС на эту тему ничего не говорил вроде бы. Написать же интерфейс по управлению htpasswd записями - пара пустяков.
Последнее же предложение:
авторизация с помощью сервера - примитивна, с ограниченным функционалом. конечно, она наверное одна из самых надежных, потому что делается на уровне сервера, а не скрипта.
показывает слабое знакомство с предметом. Любая авторизация делается на стороне сервера, поскольку там хранится база с авторизационными данными. И надежность зависит только от способа передачи данных по большому счету. И делать это через встроенный в веб-сервер механизм или писать что-то свое - без разницы. Можно и там и там накосячить или наоборот сделать хорошо и надежно.