[php] Logowanie bezpośrendnio z linku? Opcje

[starterrrrr]

Witam.

Potrzebuje przygotować link, za pomoca którego dany user będzie mogl sie logować do serwisu na swoje konto.

Obecnie formularz logowania wysyla haslo i login za pmocą metody POST.

Trzeba bedzie wiec skryptowi również umożliwić logowanie za pomocą danych wysylanych metodą GET.

Nie chciałbym w liku udostępniać login i haslo. Jak to zmozna zorganizowac?

Czy moze iśc innąstroną i kazac za pierwszym razem sie logowac a poznije sesje pamietac w cookies? Tylko , ze mam problem gdyz od dluzszegoczasu nie moge poprawnie uruchomic tego mechnizmu.

Ten post edytował starterrrrr 26.10.2016, 10:56:54

[lukaskolista]

sam nie wiem.Taki kod przetrzymywac tak samo jak haslo? W sumie tez mozna go podgladnac :/

A id sesji, który jest tak samo losowy, jak proponowany hash to już nie można podglądnąć? Hmmm..?

Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach:
1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token
2. Token musi być długi.
3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić).
4. Tokeny mają datę ważności.
5. Po skorzystaniu z tokenu taki token wraca do puli.