Покинул форум
Сообщений всего: 17
Дата рег-ции: Окт. 2014
Помог: 0 раз(а)
В интернете так много разных скриптов авторизации, но все они просто смешные и не серьезные.
И еще где можно найти серьезный скрипт авторизации, которым например пользуются с крупные сайты и как они выглядят, что в них особенного?
dcc0
Отправлено: 12 Октября, 2014 - 22:26:05
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Перенаправлять с http на https при попытке открыть админку
Включить базовую авторизацию средствами веб-сервера
----- Март 2021. Бросил программирование
IllusionMH
Отправлено: 13 Октября, 2014 - 00:39:35
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
ruslanaxti, серЪёзную авторизацию хотите(так что сурЪёзней некудва)? Гуглите на тему two-factor authentification и где покупать сертификаты для SSL и как их ставить на сервер.
MiksIr
Отправлено: 13 Октября, 2014 - 10:35:58
Забанен
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
Крупные сайты сперва пользуются аутентификацией ;) А авторизацией уже потом ;)
----- self-banned
ruslanaxti
Отправлено: 13 Октября, 2014 - 20:07:24
Новичок
Покинул форум
Сообщений всего: 17
Дата рег-ции: Окт. 2014
Помог: 0 раз(а)
dcc0 пишет:
Перенаправлять с http на https при попытке открыть админку
Включить базовую авторизацию средствами веб-сервера
Базовая авторизация средствами сервера это паралельно с авторизацией скриптом рнр? (Добавление)
IllusionMH пишет:
ruslanaxti, серЪёзную авторизацию хотите(так что сурЪёзней некудва)? Гуглите на тему two-factor authentification и где покупать сертификаты для SSL и как их ставить на сервер.
двухфакторная и ссл я знаю она мне не нужна. Меня интересует сам код например: простые скрипты работают так проверяется логин с пароле, сверяется с базой и т.д код который можно написать в 30 строчек. Что особенного используют какие нибудь дополнительные проверки, сессии и если можно какой нибудь пример с которым можно ознкомиться или ссылку
dcc0
Отправлено: 13 Октября, 2014 - 20:44:34
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
простые скрипты работают так проверяется логин с пароле
Хорошо, а о шифровании простые скрипты думают? О том, как данные передаются по сети?
----- Март 2021. Бросил программирование
IllusionMH
Отправлено: 13 Октября, 2014 - 21:18:54
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
ruslanaxti, самые злобные реализации проверок у близзарда на их battle net'е. Логинишься с другого провайдера и получаешь залоченный аккаунт с письмом как восстанавливать пароль.
Запоминается IP(или пулл адресов для прова как-то получают) и дальше сверяются. Можно через третьи сервисы пытаться определять город и только при различных городах выдавать предупреждения или капчи.
Кода близов у меня нет
Для начала реализуется безопасное соединение и обычной авторизации хватит. А дальше уже достраивать ухищрения.
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
Я так понимаю, что человека интересует серверная реализация аутентификации (не, ну давайте все же называть вещи своими именами), а не способы усложнения аутентификации.
В общем ничего необычного там нет. Сравнение с базой.
Дальше заводится сессия, но своя, самописная, с хранением в базе (SQL, noSQL, etc). Некоторые крупные обходятся без сессии (в ее ПХП-ном понимании), а ставят криптованную куку.
Вам на начальных стадиях имеет смысл использовать обычную ПХП сессию. Единственное, что стоит делать с самого начала - хешировать пароль для хранения - функцией crypt (или надстройкой на ней - password_hash, если пхп 5.5).
dcc0 пишет:
Хорошо, а о шифровании простые скрипты думают? О том, как данные передаются по сети?
Покинул форум
Сообщений всего: 8
Дата рег-ции: Апр. 2014
Помог: 0 раз(а)
Скажу больше в интернете много auth скриптов реализованных по разному, и не везде подано описание кода для новичка.
Я написал свой скрипт auth когда перепробовал все методы, в результате при помощи слияния большинства методов вышел норм скрипт.
Вроде получился самый безопасный auth скрипт, не используя ssl.
dcc0
Отправлено: 13 Октября, 2014 - 23:30:02
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Автор говорит про крупные сайты.
Как, например, у Яндекса организовано это.
https, а поверх нее уже передача логина и пароля.
А уж, как хранить в базе или нет - это второй вопрос.
Если писать свой скрипт для админки, то все равно фактически приходим к тому же, что предоставляет базовая авторизация, https пароль в md5 или sha1 где-то в файле или базе.
Без https придется шифровать самому до отправки, т.е. + огроменная функция на JS для передачи данных.
Покинул форум
Сообщений всего: 11
Дата рег-ции: Окт. 2014
Помог: 0 раз(а)
Сам нашел вот такую штуку: http://www.php-login[dot]net/
С помощью нее разбираюсь что такое MVC.
По-моему, код и главное его документация очень ок.
MiksIr
Отправлено: 14 Октября, 2014 - 00:57:50
Забанен
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
dcc0 пишет:
Автор говорит про крупные сайты.
Как, например, у Яндекса организовано это.
https, а поверх нее уже передача логина и пароля.
А уж, как хранить в базе или нет - это второй вопрос.
Если писать свой скрипт для админки, то все равно фактически приходим к тому же, что предоставляет базовая авторизация, https пароль в md5 или sha1 где-то в файле или базе.
Без https придется шифровать самому до отправки, т.е. + огроменная функция на JS для передачи данных.
Вот только скрипты ничего не знают о https ;) Это более низкий уровень - уровень вебсервера. Я о том и говорил. https - хорошо и нужно, тем более нынче можно вообще бесплатные сертификаты получить, но скриптам в общем пофиг.
Базовая аутентификация (если вы про http base) - это не красиво, сложно отловить попытки подбора и все такое.
Да, и пароль только не в md5/sha1, а в специальном формате bcrypt ;)
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.