PHP/MySQL | Нужен совет
LOTUS
Тема закрыта by
388830670 scam
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
388830670 scam
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
Пойдет ли моя концепция по авторизации? Жду ваше мнение
1. При авторизации/регистрации пользователя записывать ему в сессию уникальный хеш, этот же хеш записать ему в учетку в бд. А так же записать в куки пароль в шифрованном виде и id аккаунта
2. Авторизовать пользователя проверкой:
Хеш в сессии == хеш в бд (совпадет - true, не совпадет - false)
3. Когда текущая сессия сгорит, то произойдет автоматическая авторизация по куки, и снова в бд и в сессию запишется новый уникальный хеш, который будет меняться каждый при новой авторизации по куки
1. При авторизации/регистрации пользователя записывать ему в сессию уникальный хеш, этот же хеш записать ему в учетку в бд. А так же записать в куки пароль в шифрованном виде и id аккаунта
2. Авторизовать пользователя проверкой:
Хеш в сессии == хеш в бд (совпадет - true, не совпадет - false)
3. Когда текущая сессия сгорит, то произойдет автоматическая авторизация по куки, и снова в бд и в сессию запишется новый уникальный хеш, который будет меняться каждый при новой авторизации по куки
Концепция старая как мир если честно 
Но мысли хорошие
System Но мысли хорошие
System, мне важен не возраст концепции, а хороший уровень безопасности аккаунта
388830670 (10.01.2020 в 21:12)
System, мне важен не возраст концепции, а хороший уровень безопасности аккаунта
System, мне важен не возраст концепции, а хороший уровень безопасности аккаунта
Важно к этой сессии привязывать данные про IP и браузер
Если сменить их что бы не пускало на сайт в аккаунта
________
посл. ред. 10.01.2020 в 21:50; всего 1 раз(а); by System
System, тогда куки потеряет смысл. Его задача обеспечивать пользователя долгосрочной авторизацией, чтобы при каждом заходе не вписывать логин и пароль. А ip и данные о браузере как раз будут сбивать это
________
посл. ред. 10.01.2020 в 22:14; всего 1 раз(а); by 388830670
________
посл. ред. 10.01.2020 в 22:14; всего 1 раз(а); by 388830670
System, это ладно если бы у всех был статический ip.
388830670 (10.01.2020 в 22:13)
System, это ладно если бы у всех был статический ip.
System, это ладно если бы у всех был статический ip.
Ну это надёжней всего, а вообще разбери авторизацию от ларавела, она доволее неплохая
Но если не завязывать сессию на ип и юзер агенте, то можно их с воровать, это не гуд
System, я думаю сессию почти невозможно украсть, так как он хранится на сервере где пользователю недоступен ни его просмотр, ни его редактирование. А вот подменить можно, если кодер криворукий
делать типо {id: 1, login: Admin, agent: {ip: 127.0.0.1, broswer: 'браузер'}}.хеш
Это конечно правильно реализация по стандарт безопасности и снижает нагрузки с базы для выдергивания для личного данных.
двух зайцев одним выстрелом
Но для вап как то не влияет сильно на него.
Если знаком с реализации bearer
________
посл. ред. 11.01.2020 в 09:44; всего 1 раз(а); by 556863864
Это конечно правильно реализация по стандарт безопасности и снижает нагрузки с базы для выдергивания для личного данных.
двух зайцев одним выстрелом
Но для вап как то не влияет сильно на него.
Если знаком с реализации bearer
________
посл. ред. 11.01.2020 в 09:44; всего 1 раз(а); by 556863864