Авторизация по сессии

EuGen Ну раз задача именно в этом что бы не дать 1 и тому же пользователю пользоваться акком с разных компов, то вариант с ip то что нужно. Но уж больно какая-то странная задача...

-----
Так было, так есть и так будет

vanicon
Вариант с ip - да, но я указал на то, что это - "хороший" случай. А в общем - пользователь может иметь один ip на разных машинах (NAT это позволяет штатно), и если двойная авторизация критична - то нет 100% способа различить таких пользователей.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

EuGen Да действительно и такое бывает, к примеру у меня 2 компа дома и подключены к одному модему и ip естественно одинаковые...

-----
Так было, так есть и так будет

[quote=EuGen][/quote]
Видимо вы не так поняли автора темы.Я не понимаю зачем защищать самого себе от себя же?
Что мешает одному и тому же пользователю ввести повторно свой пароль?
Автор темы имел ввиду что под одним пользователем входят с разных устройств и со страницы авторизации.
А то что вы описали полнейшая глупость.
(Добавление)
[quote=EuGen][/quote]
Вы не обижайтесь но вы хоть определитесь что говорите.
Даже если один и тот же пользователь хочет сидеть с разных девайсов то как вы и сказали ip у этих девайсов будет одинаковым,следовательно полюбому не получится чтоб выкинуло из первой авторизации,а вот вариант предложенный мною как раз таки избавит от всего этого.То есть пользователь введя логин пароль на втором девайсе автоматом выкинет первую авторизацию.
А если как вы говорите он захочет перенести с одного девайса на второй данные кук то это и есть чушь.Логичный вопрос,а зачем пользователю такой геморрой,приведите ХОТЬ один пример когда ему нужно так сделать.
(Добавление)

Читайте мои посты выше.
Кстати,прошу евгения тоже прочитать 10 раз пост автора темы чтобы понять ЧЕГО ИМЕННО хочет автор темы,и прошу вас,прежде чем писать изречения и обвинять в незнании основ советую вам сделать тоже самое.На этом откланиюсь.

Local
Защищать не от самого же себя, а защищать веб-сайт от двойных авторизаций. Зачем это потребовалось автору темы - вопрос, но не сомневаюсь, что нужно именно это.

Обоснуйте - как? Как в контексте сессии различать одного и того же пользователя с разных хостов с одинаковым ip?
Не стоит говорить крайностей, я не обвинял, но лишь указывал (исходя из Ваших ответов) на некоторую некорректность.
Аргументов, как именно Ваш способ помогает различить авторизации одного и того же способа - я так и не увидел.

Думаю, лучше подождать автора темы - он разъяснит, правильно ли я его понял, или нет (чтобы уже не возникало вопросов)

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

[quote=EuGen][/quote]
По порядку
1 Защищать сайт от двойных авторизаций? Зачем это?
2 Как,я вам уже описал в малейших деталях,и даже с примером на базе данных дабы было понятнее.
3 Читайте выше.
4 Прочитайте посты автора,он просит защиту от авторизации 2 ЧЕЛОВЕК,а не одного и того же пользователя.
То есть сидит вася под своей учеткой,и если петя зашел под васиной учеткой то васю выкидывает.

Local
А теперь ждем автора темы.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Прошу прощения.
$_SERVER['HTTP_USER_AGENT'] помогает защититься от двойной сессии. а если туда-же и ип добавить, кодировать как-нибудь и в куки ставить - почти полная гарантия. Даже если куки увели, и есть полностью идентичная система, то все равно нужен тот-же ип, что возможно разве что в локальных сетях с одним выходом в инет на всех... Ну в общем print_r($_SERVER) и подбирать комбинации для достижения цели

Anguis
И как HTTP_USER_AGENT позволяет это сделать? Это ведь тоже информация, передаваемая в HTTP-заголовке клиентом, поэтому подделать ее несложно.

- это "хороший" случай, здесь же рассматривается сложный - когда оба клиента за NAT, к примеру, и имеют одинаковый IP.

аналогично - приходит с клиента, значит - можно подделать.

Пожалуйста, ознакомьтесь с дискуссией выше - это все там описывается и обсуждается.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Думаю... так.

при авторизации создаем уникальное значение ХЕШ.
записываем базу, и отправляем пользователю.
пользователь перешел на другую страницу, проверяем наш ХЕШ с базой. совпадение Ура! пускай идет дальше, обновляем ему этот ХЕШ и в базе. И так каждый раз!
По моему с такой логикой можно запретить двух пользователей!

(Отредактировано автором: 24 Июня, 2012 - 19:13:46)

[quote=fdr21][/quote]
Закономерный вопрос,а зачем ему постоянно обновлять хеш?
Ему просто нужно его обновлять только при регистрации ,авторизации и все.

Тогда что ему помешает, взять этот ХЕШ из браузера, перекинут на другой комп, и вуаля, у нас будет уже два пользователя)))

[quote=fdr21][/quote]
Подумайте хорошенько.
ЗАЧЕМ одному и тому же пользователю,брать куки с кешем с одного девайса и нести их на другой??
Не проще ли просто залогиниться по новой?

Вопрос здесь в другом, Автор темы как я понял, хочет что бы Один, и только Один пользователь был.

Зачем ему так делать, я не знаю, может он больной на голову )))))
Но так сделать можно!

Если он так сделает, мы обновим ему ХЕШ. и у нас снова будет ОДИН пользователь!

[quote=fdr21][/quote]
Ну и правильно,по логике(здравой логике) так и должно быть
Да и вообще,автор темы хотел совсем другое,он хотел чтоб 2 ПОЛЬЗОВАТЕЛЯ не могли сидеть под 1 учеткой.
А уж почему тема съехала в там тарары это другой вопрос.