| |
|
|
| | Оправдана ли такая авторизация?
Cверяемый логин и пароль хранится в файле в хешированом виде.
при вводе логина и пароля есть функция которая открывает файл с данными, эксплодит строку, сверяет, если все верно создает куку с кодированой копией логина и хеша пароля, а также сессии на случай если чтото не включено будет одно з двух.
Далее.... при переходе на разные участки кода(страницы), есть другая функция которая каждый раз открывает тот файл и сверяет данные с теми что в куке или сессии и возвращает TRUE либо FALSE. | |
| |
|
|
| |
|
|
| |
для: Emm
(05.02.2009 в 18:02)
| | | >а также сессии на случай если чтото не включено будет одно з двух.
До этой строки всё было адекватно. Эта строка порвала.
Сессия целиком хранится на сервере!
Что Вам в плане аутентификации даст информация из сессии?! | |
| |
|
|
| |
|
|
| |
для: Trianon
(05.02.2009 в 18:11)
| | | Да, я знаю что сесия на сервере, но я в нее также записывал хеш пароля для проверки, да вобщем-то все верно - это просто паранойя. :)
спасибо за разъяснения. | |
| |
|
|
| |
|
|
| |
для: Emm
(05.02.2009 в 22:14)
| | | не для проверки, а после проверки.
Для следующей проверки он уже не годится. | |
| |
|
|
| |
|
|
| |
для: Trianon
(05.02.2009 в 22:55)
| | | не, потом я сравнивал хеши между собой, и з файла тоже, вобщем наворотил код.....чтобы хацкеров запутать :))) | |
| |
|
|
| |
|
|
| |
для: Emm
(05.02.2009 в 18:02)
| | | В сессии просто устанавливаете флаг авторизации (например id пользователя), и его проверяете на каждой странице. Обращаться к файлу с логинами и паролями постоянно нет ни необходимости, ни смысла, даже если бы это не создавало нагрузку на сервер.
В куках для пущей важности храните шифрованный код (который при каждом обращении к странице может быть новым) и сравнивайте его с сессионной переменной в которой храниться дубликат этого кода. | |
| |
|
|
