[PHP] Autoryzacja na wszystkie sposoby .. Opcje

[bor1904]

Witam
Zwracam sie do was z dziwną prośbą. Chciałbym abyście mi odpowiedzieli co waszym zdaniem mój wykładowca miał na myśli (IMG:style_emoticons/default/biggrin.gif)
Dostaliśmy do przygotowania na ten weekend kilka skryptów związanych z szeroko rozumianą autoryzacją jednak kilku sposobów nie rozumiem, a nie mam kontaktu z prowadzącym... (IMG:style_emoticons/default/sad.gif)


Oto tematy skryptów:
1. Identyfikacja użytkownika za pomocą cookies.
2. Weryfikacja użytkownika za pomocą hasła.

* Weryfikacja jednego użytkownika z hasłem zapisanym w skrypcie
* Weryfikacja jednego użytkownika z hasłem zaszyfrowanym w skrypcie
* Weryfikacja jednego użytkownika z hasłem szyfrowanym po stronie klienta z wykorzystaniem javascript
3. Autoryzacja użytkowników z identyfikacją i weryfikacją.
4. Autoryzacja wielu użytkowników z użyciem bazy danych.
Uwaga! Obowiązkowo - uprawnienia użytkowników.
5. Autoryzacja z szyfrowaniem z kluczem zmiennym po stronie klienta.
( http://wsz.guminski.net/web/key3.jpg )
Użyj: md5.js
6. Ograniczenie czasowe systemu autoryzacji
7. Hasło via e-mail
8. Hasło jednorazowe

Ad3
Nie mam zielonego pojęcia co powinien robić taki skrypt (IMG:style_emoticons/default/sad.gif)
Ad5
Czy to powinno wyglądać tak:
-klient sie rejestruje i wysyła do bazy serwera login i hasłoMD5
-gdy serwer przesyła form w którym można sie logować wiąże go z pseudolosowym ciągiem cyfr,a klient odpowiadając wysyła login i md5 z cyfr i hasłaMD5
-serwer sprawdza login i to co wysłał użytkownik jako "haslo" z md5 (tych cyfr i (hasła z bazy) md5)
(jeżeli o to chodzi to po co te wszystkie ceregiele ? Chodzi o to żeby gdy ktoś podsłucha hasło w md5 to może je brytalnie połamać a z kluczem to już nie takie proste ?)
Ad6
Czy to znaczy że po zalogowaniu się moge np korzystać tylko 5 min a potem musze sie ponownie zalogować ? (coś jak na koncie w banku)
Ad8
Rozumiem to jako np jest sobie serwer z płatnymi artykułami na temat PHP. użytkownik wysyła sms i dostaje hasło. loguje się na nie sciąga artykuł i gdy po raz kolejny chce po niego sięgnąć po wpisaniu hasła nie ma dostępu ...czy tak ?


Proszę o wasze opinie.

Z góry dziękuję i pozdrawiam

[Ociu]

3. Może tu był weryfikacja czy user nie jest robotem, np. CAPTCHA.
5. Tutaj ciężko stwierdzić. Możliwe, że tak jak napisałeś.
6. Tak.
8. Niektóre banki autoryzują tak przelewy przez internet, że podczas wypełniania formularza masz podać np. hasło nr 465 z listy, którą otrzymałeś z banku. Każdy klient posiada inny zestaw. Takie rzeczy można mieć np. w bazie danych, dla każdego użytkownika. Dla przykładu:

Kod

id | user_id | password_id | password |

Oczywiście SMS też jest dobrym rozwiązaniem. mBank posiada taki system przy przelewach.

Ogólnie zadania są bardzo nie sprecyzowane. Proponuję podskoczyć do wykładowcy z prośbą o wyjaśnienie.

sadistic_son: Twój post nic nie wnosi. Takie rzeczy załatwia się na pw.