PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация & WebService

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Описание: как делать

Поиск в теме | Версия для печати

eai	Отправлено: 16 Октября, 2012 - 10:33:58
Частый посетитель Покинул форум Сообщений всего: 521 Дата рег-ции: Сент. 2009 Откуда: Петроград Помог: 10 раз(а)	Коллеги всем привет кого не видел. Делаю веб сервисы. По большому счету проблем не имею. Но как то смущаюсь по поводу механизма реализации системы авторизации. Классически в браузере мы посылаем на сервер пользователя/пароль и получаем куку с сессией и отсюда и пляшем. Но для WebService куки вообще применимо ли ? То бишь как делать авторизацию то, не слать же пароль в каждом запросе. Как оно принято то ?

avtor.fox	Отправлено: 16 Октября, 2012 - 10:51:33
Постоянный участник Покинул форум Сообщений всего: 2083 Дата рег-ции: Март 2012 Откуда: Воронеж Помог: 50 раз(а)	eai пишет: Но для WebService куки вообще применимо ли ? Нет конечно. Это плохо и непрактично. eai пишет: То бишь как делать авторизацию то, не слать же пароль в каждом запросе. Долбить запросами при каждом удобном случае. А лучше сразу два запроса! Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService?

EuGen	Отправлено: 16 Октября, 2012 - 10:57:29
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Web SSO (wiki) ? ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

eai	Отправлено: 16 Октября, 2012 - 11:33:29
Частый посетитель Покинул форум Сообщений всего: 521 Дата рег-ции: Сент. 2009 Откуда: Петроград Помог: 10 раз(а)	avtor.fox пишет: Долбить запросами при каждом удобном случае. А лучше сразу два запроса! Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService? WebService есть программа живущая на сервере и предоставляющая иным программам (клиентам) живущим где попало различные сервисы (например получение некоторого XML) используя протокол http или https. Я хочу узнать как технически (как правильно) осуществить авторизацию клиента. (Добавление) EuGen пишет: Web SSO (<a href='http://en.wikipedia.org/wiki/Single_sign-on'>wiki</a>) ? Вроде как не то

Zuldek	Отправлено: 16 Октября, 2012 - 11:42:50
Постоянный участник Покинул форум Сообщений всего: 2122 Дата рег-ции: Июнь 2010 Помог: 50 раз(а)	тов. Eugen вам кинул ссылку. Вы не указали ни по каком протоколу организован сервис, ни критичность безопасности и необходимость строжайшей проверки пользователя при вызове каждой функции интерфейса сервиса. Иными словами, как и всегда, - все зависит от конкретной задачи. В сервисе для которого безопасность критична, с клиента, как правило, с вызовом функции интерфейса приходит объект с логином и паролем (пример на SOAP): CODE (htmlphp): скопировать код в буфер обмена <auth> <login>Userlogin</login> <password>324324Fdfdf5vb234G%243gtukm452434АА</password> </auth> Сервер после такого вызова, генерирует некий token и возвращает его. Токены обычно живут и обновляется в строго ограниченное время. Последующие вызовы API выглядят уже примерно так: CODE (htmlphp): скопировать код в буфер обмена <auth> <login>Userlogin</login> <password>324324Fdfdf5vb234G%243gtukm454243</password> <token>!@#$4324234fdfsfd@$htgyyfydfydfherfeergfegg43f1212e@GHt43yg434_hide</token> </auth> (Отредактировано автором: 16 Октября, 2012 - 11:46:29)

eai	Отправлено: 16 Октября, 2012 - 13:05:00
Частый посетитель Покинул форум Сообщений всего: 521 Дата рег-ции: Сент. 2009 Откуда: Петроград Помог: 10 раз(а)	Zuldek пишет: CODE (htmlphp): скопировать код в буфер обмена <auth> <login>Userlogin</login> <password>324324Fdfdf5vb234G%243gtukm454243</password> <token>!@#$4324234fdfsfd@$htgyyfydfydfherfeergfegg43f1212e@GHt43yg434_hide</token> </auth> Ну я как то и сам примерно к этому склонялся, но всеже посчитал важным спросить от сообщества. Зачем при наличии токена еще раз логин слать ?

Zuldek	Отправлено: 16 Октября, 2012 - 16:09:24
Постоянный участник Покинул форум Сообщений всего: 2122 Дата рег-ции: Июнь 2010 Помог: 50 раз(а)	eai пишет: Зачем при наличии токена еще раз логин слать ? Цитата: Токены обычно живут и обновляется в строго ограниченное время

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.