Авторизация пользователя

@Tolick · Регистрация: 26.12.2012

Студворк — интернет-сервис помощи студентам

Добрый день, учу php сейчас и задался вопросом об авторизации, почитал в инете что лучше делать через сессии, а не через куки, но проблема в том что после закрытия браузера сессия пропадает, а как сделать что бы она не пропадала либо же её возобновить?

@Para bellum · 10.04.2017, 18:55

Используйте cookie -- не будет пропадать.

@Jodah · 10.04.2017, 18:59

Сообщение от Tolick

почитал в инете что лучше делать через сессии, а не через куки

Глупости.

@miketomlin · 10.04.2017, 19:05

Сообщение от Tolick

почитал в инете что лучше делать через сессии, а не через куки

Чем лучше? Если штатно хранить сессии в файлах на стороне сервера, то может и получится немного сэкономить на запросах к БД, только надо ли усложнять конструкцию ради этого?

@Tolick · 10.04.2017, 23:45 **[ТС]**

Ну я читал типо куки подменить можно и это вообще не безопасно

@Jodah · 11.04.2017, 00:43

Сообщение от Tolick

куки подменить можно

Механизм сессий для идентификации пользователей отправляет каждому юзеру куку с названием PHPSESSID. Так что никакой повышенной безопасности тут нет, вы будете использовать куки в любом случае, просто в сессиях это происходит неявно.

Да, куки можно подменить. Ровно также можно подменить куку PHPSESSID.

Сообщение от Tolick

и это вообще не безопасно

В куках небезопасно хранить пароль в открытом виде, e-mail и прочую приватную информацию, собственно они и не предназначены для этого.

@Tolick · 11.04.2017, 15:15 **[ТС]**

То есть мне нужно просто хранить в куках идентефикатор пользователя так? И без всякого бреда с сесиями?

@Para bellum · 11.04.2017, 15:45

Сообщение от Tolick

То есть мне нужно просто хранить в куках идентефикатор пользователя так?

Создайте в таблице с пользователями дополнительный столбец типа VARCHAR. Когда пользователь аутентифицируется -- генерируйте случайную строку и вписывайте её в то поле. Эту же строку отправляйте в cookie.

Для чего это нужно и почему посылать не ID? Для того, чтобы сделать безопасный механизм аутентификации. Если передавать ID -- злоумышленник может подменить ID методом простого перебора чисел и зайти под именем другого пользователя.

@miketomlin · 11.04.2017, 16:18

Tolick, один идентификатор пользователя легко подменить. Нужен оч. сложный изменяющийся во времени идентификатор, возможно, но совсем не обязательно включающий идентификатор пользователя. Вот почитайте: Как сделать авторизацию пользователя?

@Para bellum · 11.04.2017, 16:23

Сообщение от miketomlin

Нужен оч. сложный изменяющийся во времени идентификато

Изменяющийся во времени -- предположим, а почему очень сложный?

@miketomlin · 11.04.2017, 16:59

По опыту

Посмотрите на длину и используемый алфавит ключей «серьезных» сайтов. Чем сложнее, тем труднее подобрать, не?

Добавлено через 4 минуты
Мы в ключах обычно используем 6-битный алфавит, длина выбирается по мере фантазии, но не слишком маленькая, бывает и под сотню знаков.

@Tolick · 11.04.2017, 17:11 **[ТС]**

Очень интересно, а когда пользователь выходит стирать куки и чистить это поле да? а потом заново генерировать и записывать?
И я так понял чем длинее это поле тем безопаснее?
И на сколько это безопасно вообще? Тяжело будет это взломать?

@Para bellum · 11.04.2017, 17:12

miketomlin, я почему-то подумал, что сложный в реализации.

@miketomlin · 11.04.2017, 17:48

Сообщение от Tolick

а когда пользователь выходит стирать куки и чистить это поле да?

В статье представлен «ленивый» вариант, при котором при выходе в БД ключ не чистится, а сразу перегенерируется, оставаясь до поры «секретным» (т.е. без отдачи клиенту). Так что такой ключ можно годами подбирать и в конечном счете добиться своего, особенно при малой активности пользователя. Но такой подход тоже имеет право на существование, т.к. сложность подобного ключа можно сделать выше, чем сложность пары логин/пароль. Можете и подчищать ключ в БД при принудительном выходе – это будет указанием на необходимость пройти процедуру аутентификации в том числе и хакерам без вариантов

Добавлено через 6 минут
Если конечно пользователь не забудет сделать принудительных выход, а ваш софт – в автоматическом режиме исправить эту оплошность пользователя через нек. достаточно короткое время

Новые блоги и статьи Все статьи Все блоги /
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ
Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .	Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .

@Tolick 1 / 1 / 1 Регистрация: 26.12.2012 Сообщений: 149

	Авторизация пользователя 10.04.2017, 17:56. Показов 779. Ответов 13 Метки нет (Все метки) Добрый день, учу php сейчас и задался вопросом об авторизации, почитал в инете что лучше делать через сессии, а не через куки, но проблема в том что после закрытия браузера сессия пропадает, а как сделать что бы она не пропадала либо же её возобновить? 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	10.04.2017, 18:55
	Используйте cookie -- не будет пропадать. 0

@Tolick 1 / 1 / 1 Регистрация: 26.12.2012 Сообщений: 149
	10.04.2017, 23:45 [ТС]
	Ну я читал типо куки подменить можно и это вообще не безопасно 0

@Tolick 1 / 1 / 1 Регистрация: 26.12.2012 Сообщений: 149
	11.04.2017, 15:15 [ТС]
	То есть мне нужно просто хранить в куках идентефикатор пользователя так? И без всякого бреда с сесиями? 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	11.04.2017, 16:18
	Tolick, один идентификатор пользователя легко подменить. Нужен оч. сложный изменяющийся во времени идентификатор, возможно, но совсем не обязательно включающий идентификатор пользователя. Вот почитайте: Как сделать авторизацию пользователя? 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	11.04.2017, 16:59
	По опыту Посмотрите на длину и используемый алфавит ключей «серьезных» сайтов. Чем сложнее, тем труднее подобрать, не? Добавлено через 4 минуты Мы в ключах обычно используем 6-битный алфавит, длина выбирается по мере фантазии, но не слишком маленькая, бывает и под сотню знаков. 0

@Tolick 1 / 1 / 1 Регистрация: 26.12.2012 Сообщений: 149
	11.04.2017, 17:11 [ТС]
	Очень интересно, а когда пользователь выходит стирать куки и чистить это поле да? а потом заново генерировать и записывать? И я так понял чем длинее это поле тем безопаснее? И на сколько это безопасно вообще? Тяжело будет это взломать? 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	11.04.2017, 17:12
	miketomlin, я почему-то подумал, что сложный в реализации. 0