|
| |
|
|
| |
для: Trianon
(08.06.2007 в 20:35)
| | | >1.Пользователь может просто ссылку кому-нибудь дать вместе с session-id.
У меня почему-то ссылки не отображают sessid.
Хмм.. значит у меня проблема в автологине.
Авторизация есть, аунтификация тоже есть, а вот автологина нету.
Может есть какой-нибудь пример, который правильно работает? А то я так в сессии с куками год въезжать буду как когда-то в MySQL. | |
| |
|
|
| |
|
|
| |
для: ChieFSS
(08.06.2007 в 20:20)
| | | >По сессионному идентификатору. Пользователь передает сессионный идентификатор, который (Вы так считаете) никто, кроме него, не знает.
Я в этом и хочу разобраться. Переменные в сессии изменить можно только скриптом на сайте. А украть как я понимаю её очень сложно из-за её случайной генерации.
1.Пользователь может просто ссылку кому-нибудь дать вместе с session-id.
2. XSS-атака (если не блокирован вывод html-тегов из данных пользователя) может увести кукис с идентификатором сессии.
>>Почему из куков? Почему не из формы?
>Так если пользователь авторизировался, то имя записывается в сессии и куки, а пароль только в куки.
>Значит если пользователь закроет браузер, то единственное что его сможет потом узнать это куки.
Если пользователь закрыл браузер, значит он прекратил сеанс.
Или Вы хотите не пользоователя аутентифицировать, а компьютер?
Вы бы определились, чего хотите...
Аутентификация - это одно. А автологон - совсем другое.
Авторизация - передача данных о том, кто является автором сеанса.
Фактически, когда пользователь набирает свой логин (не пароль!) в форме и опправляет её на сайт - это авторизация.
Аутентификация - процесс доказывания пользователем , что он именно тот, за кого себя выдает. Когда пользователь прикладывает к логину пароль - это шаг аутентификации. Поскольку считается, что никто, кроме владельца, пароля не знает.
Автологон - (сленговый веб-термин) - процесс авторизации и аутентификации браузером за посетителя, позволяющий посетителю не набирать каждый раз пароль с логином, также позволяющий получившему доступ к компьютеру, представиться этим посетителем. | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.06.2007 в 20:03)
| | | >По сессионному идентификатору. Пользователь передает сессионный идентификатор, который (Вы так считаете) никто, кроме него, не знает.
Я в этом и хочу разобраться. Переменные в сессии изменить можно только скриптом на сайте. А украть как я понимаю её очень сложно из-за её случайной генерации.
>Почему из куков? Почему не из формы?
Так если пользователь авторизировался, то имя записывается в сессии и куки, а пароль только в куки.
Значит если пользователь закроет браузер, то единственное что его сможет потом узнать это куки.
Мне важен процесс идентификации пользователя на сайте для дальнейшей работы, а не авторизация.
Если учесть то, что авторизация - это функция, которая запускается следующей после ввода логина и пароля в поля формы.
А аунтификация - это уже дальнейшее опознание пользователя на других страницах и на сайте в целом после закрытия браузера.
Я плохо умею выражать свои мысли там где я ещё не разбираюсь. ;) | |
| |
|
|
| |
|
|
| |
для: ChieFSS
(08.06.2007 в 19:54)
| | | >Если переменная в сессии с именем существует, то аунтифицируем пользовалетя по значению этой переменной.
По сессионному идентификатору. Пользователь передает сессионный идентификатор, который (Вы так считаете) никто, кроме него, не знает.
А если пустая, то проверяем куки на наличие 2х переменных: имени и пароля. Если таковые имеются, то запрашиваем в БД такое поле с этими значениями и в случае успеха аунтифицируем.
Почему из куков? Почему не из формы? | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.06.2007 в 19:35)
| | | Какаято карявая у меня система авторизации на сайте :))
Ну ладно. Значит...
Если переменная в сессии с именем существует, то аунтифицируем пользовалетя по значению этой переменной. А если пустая, то проверяем куки на наличие 2х переменных: имени и пароля. Если таковые имеются, то запрашиваем в БД такое поле с этими значениями и в случае успеха аунтифицируем.
Если переменные пустые, то выводим форму авторизации.
Я правильно рассуждаю? :)
А можете посоветовать как лучше организовать авторизацию в целом на сайте? Я хотел чтобы пункты меню тоже менялись, но по моему в моем случае придется слишком много раз запрашивать эти переменные. | |
| |
|
|
| |
|
|
| |
для: ChieFSS
(08.06.2007 в 19:21)
| | | для авторизации - можно.
Для аутентификации нужно писать что-то еще, что доказывало бы, что клиент - реальный. | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.06.2007 в 19:17)
| | | Ясно. Значит за сессии можно не переживать, а как быть с куками? Их же можно подменить. Значит туда нельзя записывать просто имя пользователя или я ошибаюсь? | |
| |
|
|
| |
|
|
| |
для: ChieFSS
(08.06.2007 в 19:04)
| | | кроме скрипта на вашем сервере, врядли кто сможет её сменить. | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.06.2007 в 19:00)
| | | Мне в голову стукнула мысль что эту самую переменную, которая содержит имя пользователя можно как-то сменить. И соответственно при смене этой переменной на имя администратора скрипт выдаст всю роскошь админского дизайна и привилегий. | |
| |
|
|
| |
|
|
| |
для: ChieFSS
(08.06.2007 в 18:34)
| | | чего именно Вы опасаетесь? | |
| |
|
|
|
