|
172 / 167 / 75
Регистрация: 21.11.2014
Сообщений: 1,490
|
|
Авторизация на сессиях09.09.2016, 12:57. Показов 1341. Ответов 28
Метки нет (Все метки)
Ребяты, подскажите, пожалуйста идеологию авторизации на сессиях (без кук).
Есть БД юзверей. В ней id, логин и пароль в md5 и или иже с ним (соль там и все такое). Стартуем сессию, проверяем, задан ли $_SESSION['id']. Если нет, то отправляем на страницу авторизации. Если задан, то лезем в БД и проверяем, есть ли юзверь с таким id. Если есть, пускаем на страницу, если нет - отправляем опять же на страничку авторизации. Такого подхода достаточно? Или необходимо более надежно защититься? К примеру, кроме $_SESSION['id'] задавать еще какой-нить уникальный для данной сессии $_SESSION['session_hash'], который генерится при авторизации и записывается в БД, а затем проверяется вместе с id? Я вот этот момент не очень понимаю... ну если он нужен, конечно. По мне, так это только для кук надо делать... Можете в двух словах описать безопасный принцип авторизации на сессиях? А то примеров в инете куча, но никто не описывает идеологии: тупо "сделайте так", "сделайте так" и "как видите все просто".
0
|
|
| 09.09.2016, 12:57 | |
|
Ответы с готовыми решениями:
28
Безопасная авторизация на разных устройствах: что хранить в сессиях и куках? Безопасность в сессиях Работа в сессиях |
|
172 / 167 / 75
Регистрация: 21.11.2014
Сообщений: 1,490
|
|||
| 09.09.2016, 17:38 [ТС] | |||
|
Добавлено через 36 секунд
0
|
|||
|
4925 / 3920 / 1620
Регистрация: 24.04.2014
Сообщений: 11,441
|
|
| 09.09.2016, 17:41 | |
|
1
|
|
|
133 / 133 / 48
Регистрация: 26.04.2013
Сообщений: 1,356
|
||||||
| 09.09.2016, 17:49 | ||||||
Для API у меня другая история, но она тут не нужна Добавлено через 7 минут А все эти сессии и id сессиий в бд, чепуха не предсталяю какую она тебе защиту даст. Если куки украли то пиши пропало Сессию стащили, тоже пиши пропало
1
|
||||||
|
930 / 846 / 190
Регистрация: 28.11.2013
Сообщений: 3,621
|
||
| 09.09.2016, 18:19 | ||
Вы просто проверяете, установлены ли сессионные переменные и все. Сохранение sid'а в базе может потребоваться для работы на нескольких устройствах, чтобы для каждого устройства не создавалась отдельная сессия.
0
|
||
|
172 / 167 / 75
Регистрация: 21.11.2014
Сообщений: 1,490
|
|
| 09.09.2016, 23:28 [ТС] | |
|
miketomlin, ну вот же! Вот оно!
Я и хочу понять, что и как не так. Прослушивание трафика и вредоносные программы - это все понятно. Но мы же сейчас не о банковской системе какой-то говорим. Тогда уже давайте об инсайдерах не забывать, что чаще дешевле... У меня не сайт, раз уж такая пьянка. У меня некий ресурс типа CRM. Нет у меня необходимости: а) ходить в систему из разных браузеров; 2) ходить в систему с разных IP в рамках сессии, ибо народ работает на рабочих местах.. а я пароль введу себе уж как-нить. И я хочу адекватный баланс между удобством и безопасностью, чтобы у меня не "стибрили" мои годами наработанные данные. Что касается записи идентификатора сессии в базу - а чем вам не дополнительная защита-то? Если вас постоянно выкидывает из системы - идите к админу (разрабу): то ли он криворукий, то ли какие-то проблемы у нас, Хьюстон. Я, ко всему прочему, хочу сделать лог авторизаций: время, IP. И, поверьте, я его буду смотреть.. ибо я с Астериском уже встрял, было дело (а надо было всего навсего хотя бы иногда смотреть логи). В общем я из всего нашего топика+гугление вынес для себя единственное приемлемое решение: кук не будет, ибо это достояние пользователя (мошенника) и при этом в БД для проверки будет записываться implode http-запроса в виде sha какого-нить + проверка IP сесии.
0
|
|
|
930 / 846 / 190
Регистрация: 28.11.2013
Сообщений: 3,621
|
|||||
| 10.09.2016, 00:16 | |||||
|
0
|
|||||
|
Фрилансер
1871 / 1362 / 604
Регистрация: 12.01.2011
Сообщений: 5,470
|
||
| 10.09.2016, 00:47 | ||
|
Я session_id пихал в базу , когда у меня не было регистрации и авторизации, аа нужно было добавить определенную инфу в базу данных и потом знать что она моя по session_id(). Но это работало до выхода из браузера. И еще раз повторяю, это было целесообразно когда нужно было сохранить состояния, ( идентифицировать человека ибо нет у него не имени , не id, ничего кроме PHPSESSID) для чего и используются куки и сессии. Вот если бы у меня была авторизация , я бы сохранял ествественно id пользователя и по ней бы вытягивал инфу. А так пришлось session_id использовать.
0
|
||
|
930 / 846 / 190
Регистрация: 28.11.2013
Сообщений: 3,621
|
|
| 10.09.2016, 01:10 | |
|
Laroux, пару слов про CRM... Если речь идет не об отдельных рядовых пользователях, а о менеджерах, вам нужно сделать так, чтобы точку входа в систему для привилегированных пользователей даже найти было трудно, не то что ее взломать.
Помимо всего прочего форму входа, имя хоста с DNS-сервера можете перенести на рабочие места менеджеров. Можно и всю систему перенести, оставив только базу и хранилище файлов с клиентской частью на сервере.
0
|
|
|
3900 / 3238 / 1353
Регистрация: 01.08.2012
Сообщений: 10,914
|
||||
| 10.09.2016, 09:49 | ||||
Имя, фамилию, год рождения и т.п. Но это просто переливание информации туда-обратно, практической пользы никакой.
0
|
||||
| 10.09.2016, 09:49 | |
|
фильтр на сессиях Корзина на сессиях ошибка в сессиях(( Корзина на сессиях Пропадают переменные в сессиях Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Новые блоги и статьи
|
|||
|
Просветление в 5 секунд
kumehtar 10.07.2026
Андрей Веретенников выдал фразу недавно: "Вам не обязательно кем-то себя считать"
|
Эксперимент с картинкой-обложкой на CodinGame
Adler 10.07.2026
Решил на днях провести эксперимент. У меня есть аккаунт на CodinGame, ТОП-3 по РФ среди 2200 участников (в разделе соревнования по программированию ИИ-ботов). Там есть обложка, куда можно влепить. . .
|
GitDOS: Когда я решил скрестить MS-DOS, GitHub и Claude
MaGz GoLd 08.07.2026
Привет, Киберфорум! Хочу поделиться своим проектом, который, надеюсь, вас заинтересует. GitDOS — это веб-приложение, которое позволяет запускать DOS в браузере с тремя крутыми фичами: диски живут в. . .
|
Учебный мини "цифровой двойник" = (Сервер = Java + Flask_питон )+(3D = Гугловскаая 4T nvideo + google colab) +( WMS = Odoo на Docker)
anaschu 07.07.2026
Увидел в требованиях к вакансии создателя имитационных моделей связку (REst + Api + WMS + Anylogic + питон + 3D Nvideo), и решил посмотреть, что это такое. Из этого всего я работал более менее. . .
|
|
Море в объективе
kumehtar 06.07.2026
Хотел написать много проникновенных слов, но передумал.
Оно само - говорит.
Кто слышит тот слышит.
|
Doom для терминала без стрельбы и монстров. 3D Raycasting на ascii.
dcc0 05.07.2026
Попросил нейронную сеть deepai. org написать рейкастинг 3D с библиотекой ncurses для Linux. Чтобы можно было
ходить на стрелочки. Чтобы стены были отрисованы символами. Справилась.
Первый вариант. . .
|
Установка статуса документа по условию
Maks 05.07.2026
Алгоритм из решения ниже реализован на нетиповом документе "НарядПутевка" разработанного в КА2.
Задача: в табличной части "Материалы" документа при записи автоматически устанавливать статус. . .
|
Сезонность и суточность закисления почв
anaschu 04.07.2026
200 часов это все равно моловато. Есть ситуации, но нестандартные, когда смена происходит за 5 лет.
Но обычно это 50 лет и более.
Наверное, закисление почвы происходит сезонно в средней. . .
|