| |
|
|
| | Добрый день.
Возник вопрос, как правильно и лучше сделать переход в личный раздел после регистрации?
Последовательность действий такая.
Пользователь регистрируется на сайте, данные о нём заносятся в БД, потом идёт refresh в личный раздел. При этом пользователь не авторизирован и надо авторизироваться с личного раздела.
Меня интересует, насколько безопасно будет, перед тем как делать refresh в личный раздел, занести данные пользователя в сессию и не требовать авторизации после перехода в личный раздел? Т.е. сразу же после регистрации пользователь переходит в свой раздел авторизированым. | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(27.05.2010 в 15:08)
| | | Это много раз обсуждалось. Устанавливайте куку-пароль с ограниченными правами в личном кабинете (например только чтение+еще что-то). Для действий поважнее, требуйте нормальной авторизации. Ну а для особо важных действий требуйте подтверждение паролем даже если пользователь авторизован. | |
| |
|
|
| |
|
|
| |
для: Valick
(27.05.2010 в 15:25)
| | | >Это много раз обсуждалось.
К сожалению не замечал подобной темы, если не трудно - дайте ссылку. | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(27.05.2010 в 15:29)
| | | ссылку не дам я жадный :)
да и зачем Вам ссылка, основное я уже сказал (" я кратко резюмирую сегодняшний базар...")
+ контролировать IP и браузер клиента в течении сессии и если что-то поменялось, то сбрасывать "права" до минимума, а то и вовсе сказать "гут бай"
к тому же кука защитит аутентификацию от прямой передачи идентификатора сессии (в ГЕТ параметрах или поддельной куке) если её так же контролировать во время сессии, а не использовать только для авторизации.
сори за некоторую сумбурность, но пытался рассказать довольно обширный материал в двух словах. | |
| |
|
|
| |
|
|
| |
для: Valick
(27.05.2010 в 16:28)
| | | действительно, несколько сумбурно :) , но попытаюсь понять. | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(27.05.2010 в 15:08)
| | | >Меня интересует, насколько безопасно будет, перед тем как делать refresh в личный раздел, занести данные пользователя в сессию и не требовать авторизации после перехода в личный раздел?
Вы считаете, что занесение данных в сессию после регистрации отличается от занесения данных в сессию после авторизации? | |
| |
|
|
| |
|
|
| |
для: Рома
(27.05.2010 в 15:56)
| | | Не считаю, просто интересно как сделать правильно? | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(27.05.2010 в 16:03)
| | | Вы авторизацию реализуйте в виде функции enter(), которая принимает два параметра - логин и пароль и вызывайте её и при входе и при регистрации - в этом случае даже не понадобиться дублирование кода, один и тот же блок будет рабоать и там и там. | |
| |
|
|
