Посоветуйте фреймворк для авторизации

Гуру, дайте совет пожа-а-алуйста!

Есть сайт. Крайне простой. Почти статичная раздача статей (4-5 php файлов по параметру "&article=" собираются в страницу index.php).

Надо добавить полноценную авторизацию. Не переписывая весь сайт, а лишь добавив в нужных местах подключение к фреймворку для авторизации. С уровнями доступа и возможностью вручную указать в статьях гостям-одно, друзьям(вошел под паролем)-другое, админам-третье. Типа if (user_group_id==2) {...}

Естественно нужна страница (хотя-бы образец, с которого смогу начать разбираться) для ввода пароля, регистрации нового, выхода из регистрации... С мини админкой для управления юзерами. Ну и конечно микро-блоком для проверки регистрации в начале каждой страницы.

С фреймворками НЕ знаком(воообще), все подряд (перебирать фреймворки) изучать и пытаться "приклеить" не хочется... Слышал что вроде все необходимое есть в Yii, но решил (прежде чем начать эксперименты) спросить у Вас!

Еще было бы не плохо поменьше баз и таблиц данных (сервер часто кочует - импорт/экспорт/резервное копирование не должны быть тяжелыми ). И вообще в двух словах опишите на каких базах можно такое построить (кроме MySQL, если возможно)? Особенно пока в режиме отладки было бы не плохо вообще использовать SQLite... И можно будет потом перенести все на другую базу без переписывания ядра?

И еще было бы не плохо, что-бы фрейворк был относительно простой внутри... Хотелось бы позднее его "расширить", добавив одноразовые короткие пароли, ограничив количество неудачных попыток ввести пароль увеличивая интервал до следующей попытки, добавив капчк, привязать отправку пароля на SMS и многое другое... Не сразу, но не хочу потом менять движок авторизации только ради этого...

ОЧЕНЬ нужно!

0

Сообщение от Tester64 Но ведь это сложно! Там УЙМА проверок должна быть! Работы (по совести) на несколько месяцев!

А, кто-то обещал, что будет просто?

Сообщение от Tester64 А прикрутить капчу, а предлагать не занятое имя, а диалог смены пароля, а админка управления доступами, а редактор "мой профиль", а диалог входа/выхода через аякс (без перезагрузки страницы). Это в любом форуме есть. Сколько лет PHP? Сколько лет пишут фремворки? Неужели готового нет?

То, что Вы перечислили, относится уже к программной логике конкретного готового решения.
Средства, которые включают языки и фреймворки можно образно назвать "кирпичами", а готовое программное решение - "зданием". В зависимости от того, что Вы спроектируете и выстроите из этих "кирпичей", таким и будет Ваше "здание". Но, для того чтобы было готовое "здание" его ещё нужно спроектировать и построить.
Судя по Вашим постам, Вы хотите получить "здание" практически сразу. Не затрачивая время и силы на изыскания и реализацию, а так не бывает. Если, конечно, не брать уже готовое решение сторонних разработчиков и не делать проект на нём.

Сообщение от Tester64 Но... я не буду уверен в его надежности от взлома.

В надёжности любой защиты на 100% не уверен никто. Причины, надеюсь, очевидны.

0

Сообщение от Streletz В надёжности любой защиты на 100% не уверен никто. Причины, надеюсь, очевидны.

Как раз наоборот, в защите от большинства уязвимостей (XSS, SQL-инъекции, массовое присваивание и т.д.) можно быть уверенным на 100%. Но вот обычно удар приходит оттуда, откуда не ждешь.
Например, пароль нечаянно не в то окно напишешь пьяный.

0

Сообщение от OnYourLips Но вот обычно удар приходит оттуда, откуда не ждешь.

Вот об этом-то и речь.

0

Сообщение от Streletz Вот об этом-то и речь.

Но от типичных уязвимостей защититься то просто.

0

Сообщение от Streletz Если, конечно, не брать уже готовое решение сторонних разработчиков и не делать проект на нём.

Вообще-то надеялся получить готовую логику в комплекте с фреймворком. Примером. С возможностью адаптировать под себя или расширить. Но и с возможностью использовать в "стандартном режиме", лишь прикрутив фремворк к своему сайту.

Сообщение от OnYourLips Как раз наоборот, в защите от большинства уязвимостей (XSS, SQL-инъекции, массовое присваивание и т.д.) можно быть уверенным на 100%.

Тоесть мне предстоит выучить все эти технологии хакерства что-бы защитить свой сайт? Поэтому и надеялся найти "готовое решение" где большинство этих дыр уже заделано специалистами на порядок опытнее меня!

Сообщение от Streletz Средства, которые включают языки и фреймворки можно образно назвать "кирпичами", а готовое программное решение - "зданием". В зависимости от того, что Вы спроектируете и выстроите из этих "кирпичей", таким и будет Ваше "здание". Но, для того чтобы было готовое "здание" его ещё нужно спроектировать и построить.

Если проводить аналогию дальше, мне нужен готовый блок "бронированой двери" (или комнатки охранника) сделанный из кирпичей, позволяющий себя незначительно менять, вставлять куда угодно и адаптировать под строящееся здание...

Понятно что любую защиту можно сломать. Понятно что сложная защита стоит много денег(гугл, яндекс, mail.ru). Но ведь в большинстве движков она хотя-бы ПРИЛИЧНАЯ!

ИМХО, задача крайне тривиальная! Часто используется! Почти без изменений! Решена вполне успешно в любом форуме, новостном сайте, чате, интернет магазине и движке. Обычно в готовых решениях уже успешно внедрены большинство защит от наиболее известных видов атак. Именно умышленных атак, а не "случайно не в то поле ввел пароль". Выдирать из движка - неблагодарное дело. Писать свой движок - явно не задача для новичка. А вот воспользоваться уже готовым решением... Честно, надеялся что хоть кто-нибудь что-нибудь ценное посоветует... Кроме как "пиши все с нуля, как делали до тебя тысячи других, более умных специалистов..."

0

Сообщение от Tester64 оесть мне предстоит выучить все эти технологии хакерства что-бы защитить свой сайт?

Если пользуешься готовым решением, то не надо.
Если пишешь свое, то должен, и это основы.

0

Сообщение от OnYourLips Если пользуешься готовым решением, то не надо. Если пишешь свое, то должен, и это основы.

Как-то это не правильно... Думал для этого и нужны фрейворки! Типа частичные решения, сделанные специалистами на порядок высшего уровня чем те кто ими собирается пользоваться... Иначе зачем они нужны??? Почему нельзя сделать "кирпичек" для авторизации? На 4х-5ти таблицах, учитывающих большинство возможностей авторизации и методов защит от большинства атак. Например простейшую защиту от SQL инъекции через поле имени и пароля. Я лишь догадываюсь как подобное делается, но мне надо искать по справочниками и защищать каждое поле входящее в функции от пользователя...

Самое обидное - я практически НАПИСАЛ такой фреймворк(~40% от полного замысла реализовано)! десяток PHP-файлов, три таблицы (пока). Переключатель между SQLite и MySQL базой. Перенос между базами через импорт/экспорт. Переключатель в найстройках между методоми хранения хеша регистрации (куки/сессии/url). Выбор метода входа, включая разовые пароли (sms, email, QR) и динамические пароли(по формуле). Защищаю только то что помню что надо защитить (при том что я крайне редко пишу на РНР). Но на доводку и отладку уйдут месяцы (я не могу заниматься ТОЛЬКО этим проектом - это на уровне хобби). Но выкладывать свою поделку не буду - уж слишком дырявая она... И дыры дадут любому профи доступ к моему сайту(там иньекцию пропустил, здесь брутфосом сломать можно...). Просто надеялся найти подобное сделанное профи много лет назад...

0

Сообщение от Tester64 Как-то это не правильно... Думал для этого и нужны фрейворки! Типа частичные решения, сделанные специалистами

Когда ты пишешь на фреймворках, ты должен знать, как они устроены внутри.
Это просто каркас, которым ты пользуешься, чтобы не писать свой.
Но что делает фреймворк, знать ты должен. Изучай его документацию и исходный код.

А когда ты работаешь с CMS, ты работаешь с готовым продуктом.

0

Сообщение от Tester64 Если проводить аналогию дальше, мне нужен готовый блок "бронированой двери"

"Бронированные двери" могут быть разными. Самые простенькие можно найти в комплекте тех же фреймворков. Более "навороченные" надо писать самому ("укреплять дверь") или брать готовые движки.

Сообщение от Tester64 Вообще-то надеялся получить готовую логику в комплекте с фреймворком. Примером. С возможностью адаптировать под себя или расширить. Но и с возможностью использовать в "стандартном режиме", лишь прикрутив фремворк к своему сайту.

В комплекте, например, с Yii Вы это найдёте. Простая авторизация там уже встроена в заготовку web приложения. Остальное сказал OnYourLips.

0

Сообщение от OnYourLips Когда ты пишешь на фреймворках, ты должен знать, как они устроены внутри. Это просто каркас, которым ты пользуешься, чтобы не писать свой. Но что делает фреймворк, знать ты должен. Изучай его документацию и исходный код. А когда ты работаешь с CMS, ты работаешь с готовым продуктом.

Это я понимаю. Я не понимаю почему на фреймворках не нахожу готовых оперсорс решений! Кроме небольших вложенных хелпов! Если бы я нашел на Yii готовый НОРМАЛЬНЫЙ форум с ПОЛНОЦЕННОЙ авторизацией, я бы забросил свою поделку и взялся за изучение Yii и этого форума. Что-бы понять что нужно для авторизации, как оно там использовано, как вырезать только авторизацию из форума и перенести ее в мой сайт вместе с фреймворком и минимумом команд. Но... если я в результате получу лишь пару "кирпичей" которые мне слегка помогут создать маленькую часть авторизации(сделают за меня 6 из 30 необходимых проверок), но заставят таскать с собой мегабайт фреймворка... Нафига тогда нужен такой фреймворк?

Мой фреймворк подключается одним импортом файла в начало индекс.пхп и настройкой в setup.php. Остальное (пока) делается на подключаемых формах для ввода пароля, выхода, вывода инфо о юзере, регистрацией и т.д...
Но... я СОВСЕМ не уверен что мое решение будет надежным на 100 одновременных запросах и учтет все ошибки.

Добавлено через 2 минуты

Сообщение от Streletz В комплекте, например, с Yii Вы это найдёте. Простая авторизация там уже встроена в заготовку web приложения.

А там есть хоть какая-та админка??? Или просто готовая таблица с готовой записью используется? Есть ли хоть что-то для создания нового юзера?

0

Сообщение от Tester64 Я не понимаю почему на фреймворках не нахожу готовых оперсорс решений!

Потому что фреймворк - каркас для твоей работы. А готовые решения - CMS.

0

Сообщение от Tester64 А там есть хоть какая-та админка??? Или просто готовая таблица с готовой записью используется? Есть ли хоть что-то для создания нового юзера?

Там по умолчанию только 2 пользователя admin и demo. Оба жёстко прописаны в коде. В тоже время механизм авторизации уже есть.
Админка, возможность создавать пользователей, работа с БД и т.д. это уже элементы готового решения и их нужно делать самостоятельно.

0

Сообщение от Streletz В тоже время механизм авторизации уже есть.

А хоть какие-то защиты есть? А "мультирегистрация" поддерживается - могу я зайти под demo c двух броузеров одновременно или второй выбивает первого?

Примеров ПРОСТЕЙШЕЙ авторизации в инете уйма! Можно даже вообще без базы, но на куках. Админку я еще могу написать, но защиты требует гуру-уровня!

0

Сообщение от Tester64 Админку я еще могу написать, но защиты требует гуру-уровня!

Tester64, Вы определитесь для начала, что Вы хотите реализовать на данном конкретном этапе. Авторизацию или полный комплекс мер по защите сайта. Однако и в том и в другом случае готовое решение гуру-уровня Вы можете получить только вместе с готовой CMS.

Сообщение от Tester64 А хоть какие-то защиты есть?

Там есть много разных инструментов. В том числе, для комплексной защиты сайтов. Только для того чтобы их использовать нужно изучить фреймворк.

0

Сообщение от Streletz Вы определитесь для начала, что Вы хотите реализовать на данном конкретном этапе. Авторизацию или полный комплекс мер по защите сайта.

Мне нужен полный комплекс!!! Авторизацию я уже имею! Разобрался за день, еще несколько дней прикручивал к сайту. Но получил ПРИМИТИВ!!! С одной таблицей имя-хешпароль-темпкука. Пытаюсь ее расширить: кво одновременных регистраций по юзеру со сроком давности регистрации. Это уже в другой таблице. Лог последних 10 подключений с апи и характериститками броузеров - в третьей. Уровни доступа с галочками разрешений - это уже 4я таблица. Пятая для разовых паролей и подтверждений. Каждую "леплю по быстрому" и понимаю что делаю то что до меня делалось для тысяч CMS и сайтов, но не так качественно. Проще взять чужое, разобраться и адаптировать под себя...

Но... похоже такого просто не существует... проще изобрести велосипед или полностью переписать свой сайт под готовый CMS-комбайн. Слегка разочарован в общественном подходе при разработке подобных сайтов... Например знаю точно что есть "кирпичики" фреймворков для магазинов - "корзина покупок". Ее можно за день к магазину прикрутить. Почему-же нет "кирпича" - авторизация?

0

Сообщение от Tester64 С одной таблицей имя-хешпароль-темпкука. Пытаюсь ее расширить: кво одновременных регистраций по юзеру со сроком давности регистрации. Это уже в другой таблице. Лог последних 10 подключений с апи и характериститками броузеров - в третьей. Уровни доступа с галочками разрешений - это уже 4я таблица. Пятая для разовых паролей и подтверждений.

То, что Вы перечисляете, это уже готовое решение реализованное под конкретную задачу. "Пост охранника" уже построенный из "кирпичей".
Фреймворки и языки предназначены для широкого спектра самых различных задач.

Сообщение от Tester64 проще изобрести велосипед

В этом, как ни странно, одно из преимуществ самописных решений. Если Вы качественно спроектируете и построите свой "пост охранника", то сможете отсеять массу "желающих", которые научились обходить "посты охраны" в типовых решениях.

Сообщение от Tester64 Но получил ПРИМИТИВ!!!

Не всё сразу.

Сообщение от Tester64 защиты требует гуру-уровня!

Ваша проблема в том, что Вы хотите получить профессиональное решение сразу не разбираясь. А, это возможно только в рамках готового решения написанного другими людьми.
Совершенствуйтесь в выбранных технологиях. Тогда вы вполне сможете написать его сами! Успехов!

1

Написать решение для данной задачи на основе фреймворка при начальных знаниях этих самых фреймворков будет достаточно затратным как по времени, так и по усилиям.
Поетому если сайт так уж прост, то лучше написать что-либо, используя просто php или набросить сайт на какую-то cms. Это будет проще и быстрее.

0

Сообщение от itisntsoHard Написать решение для данной задачи на основе фреймворка при начальных знаниях этих самых фреймворков будет достаточно затратным как по времени, так и по усилиям. Поетому если сайт так уж прост, то лучше написать что-либо, используя просто php или набросить сайт на какую-то cms. Это будет проще и быстрее.

Это я уже понял. Поэтому пишу свой специализированный фреймворк прилепляемый к любому сайту с заготовками скриптов входа/выхода, простой админкой и кучей всего... Учитывая его простоту, его потом легко можно будет усложнять и переделывать под любой сайт... По моим расчетам это займет несколько месяцев... Прийдется изучить кучу CMS сисем для понимания принципов, нюансов и защит. Просто надеялся не изобретать велосипед, а найти подобное встроенным в один из десятков готовых фреймворков. Вроде на руби-фреймворках для интернет магазинов такое есть...

0