لاگین و احراز هویت

[Gh-Moradi]

سلام. دارم یه بلاگ خبری میسازم که چنتا نقش هم داره. دوستان لطف کنید سناریوی کلی از لاگین کاربر تا عملیات مدیریتی (crud) رو تعریف کنید.
مثلا موقع لاگین کردن چه مقادیری روی کوکی ست کنم؟
بعد از لاگین چه مواردی رو رعایت کنم که مشکل امنیتی پیش نیاد؟

[rezaonline.net]

http://www.tonymarston.net/php-mysql...s-control.html
https://github.com/gburtini/PHP-ACL

[Gh-Moradi]

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

[demonvictor]

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

[Gh-Moradi]

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

[demonvictor]

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

[Gh-Moradi]

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

مشکلش چیه لطفا توضیح بدید

[rezaonline.net]

مشکلش چیه لطفا توضیح بدید

به جای کوکی از session استفاده کن .

[Gh-Moradi]

به جای کوکی از session استفاده کن .

آخه نمیخوام کاربرا بعد از بستن مرورگر دوباره لاگین کنند و اذیت بشن بخاطر همین میخوام از کوکی استفاده کنم.
اگه میتونید راهنمایی کنید که مقدادیر رو به چه صورت روی کوکی ست کنم که مشکل امنیتی به حداقل برسه

[demonvictor]

از فریم ورک استفاده کنین.