Ответов: 76 Просмотров: 9644
|
Deonis пишет:аутентификации Аутентичненько, однако..
Deonis пишет:смысл записывать токен в БД Зависит от того пишешь ли ты в БД и сессии, не?
Deonis пишет:работа ведется по SSL А завтра резко перестанет, и останешься без штанов с голыми помидорами.
Deonis пишет:есть сессия или нет Ну вот нет её, и как гостю капчу вводить без сессии?
Deonis пишет:генерируется случайный хеш, который используется, как токен в форме логина Шинель заправленая в трусы.
Deonis пишет:После успешной авторизации, этот хеш записывается в БД и в сессию А сессия не в БД? Значит шинель заправленая в трусы.
Deonis пишет:При любом запросе, хеш из сессии сверяется с хешем в БД А хеш из БД достается по еще одному хешу из сессии? Ну шинель же, заправленая в трусы.
Deonis пишет:Если гуд, то пользователь авторизован и работа продолжается, если нет, то выбрасывается на страницу логина Так это же сессионная кука, и она не меняется достаточно длительное время.
Deonis пишет:этот хеш используется в формах в скрытых полях. Как я понимаю - это для защиты от CSRF Шинель заправленая в трусы только ради успокоения но не защиты от CSRF.
..., шинель заправленая в трусы.
Deonis пишет:Так это, вроде бы, не надёжно Т.е. по твоему тру, иногда, может стать не тру?
Deonis пишет:Дальше, при каждом запросе, сравнивается хеш из сессии с записанным в БД Хайлоад грядёт! Закупи яйцы куриные про запас. Скоро будет на чем жарить. |