[PHP] Autoryzacja na wszystkie sposoby .. Opcje

[bor1904]

Witam
Zwracam sie do was z dziwną prośbą. Chciałbym abyście mi odpowiedzieli co waszym zdaniem mój wykładowca miał na myśli
Dostaliśmy do przygotowania na ten weekend kilka skryptów związanych z szeroko rozumianą autoryzacją jednak kilku sposobów nie rozumiem, a nie mam kontaktu z prowadzącym...


Oto tematy skryptów:
1. Identyfikacja użytkownika za pomocą cookies.
2. Weryfikacja użytkownika za pomocą hasła.

* Weryfikacja jednego użytkownika z hasłem zapisanym w skrypcie
* Weryfikacja jednego użytkownika z hasłem zaszyfrowanym w skrypcie
* Weryfikacja jednego użytkownika z hasłem szyfrowanym po stronie klienta z wykorzystaniem javascript
3. Autoryzacja użytkowników z identyfikacją i weryfikacją.
4. Autoryzacja wielu użytkowników z użyciem bazy danych.
Uwaga! Obowiązkowo - uprawnienia użytkowników.
5. Autoryzacja z szyfrowaniem z kluczem zmiennym po stronie klienta.
( http://wsz.guminski.net/web/key3.jpg )
Użyj: md5.js
6. Ograniczenie czasowe systemu autoryzacji
7. Hasło via e-mail
8. Hasło jednorazowe

Ad3
Nie mam zielonego pojęcia co powinien robić taki skrypt
Ad5
Czy to powinno wyglądać tak:
-klient sie rejestruje i wysyła do bazy serwera login i hasłoMD5
-gdy serwer przesyła form w którym można sie logować wiąże go z pseudolosowym ciągiem cyfr,a klient odpowiadając wysyła login i md5 z cyfr i hasłaMD5
-serwer sprawdza login i to co wysłał użytkownik jako "haslo" z md5 (tych cyfr i (hasła z bazy) md5)
(jeżeli o to chodzi to po co te wszystkie ceregiele ? Chodzi o to żeby gdy ktoś podsłucha hasło w md5 to może je brytalnie połamać a z kluczem to już nie takie proste ?)
Ad6
Czy to znaczy że po zalogowaniu się moge np korzystać tylko 5 min a potem musze sie ponownie zalogować ? (coś jak na koncie w banku)
Ad8
Rozumiem to jako np jest sobie serwer z płatnymi artykułami na temat PHP. użytkownik wysyła sms i dostaje hasło. loguje się na nie sciąga artykuł i gdy po raz kolejny chce po niego sięgnąć po wpisaniu hasła nie ma dostępu ...czy tak ?


Proszę o wasze opinie.

Z góry dziękuję i pozdrawiam

[sadistic_son]

Hmm, cięzko stwierdzić. Ja Ci raczej nie pomogę ale ciekaw jestem co to za uczelnia, że tek dokładnie macie php omawiane?

[Ociu]

3. Może tu był weryfikacja czy user nie jest robotem, np. CAPTCHA.
5. Tutaj ciężko stwierdzić. Możliwe, że tak jak napisałeś.
6. Tak.
8. Niektóre banki autoryzują tak przelewy przez internet, że podczas wypełniania formularza masz podać np. hasło nr 465 z listy, którą otrzymałeś z banku. Każdy klient posiada inny zestaw. Takie rzeczy można mieć np. w bazie danych, dla każdego użytkownika. Dla przykładu:

Kod

id | user_id | password_id | password |

Oczywiście SMS też jest dobrym rozwiązaniem. mBank posiada taki system przy przelewach.

Ogólnie zadania są bardzo nie sprecyzowane. Proponuję podskoczyć do wykładowcy z prośbą o wyjaśnienie.

sadistic_son: Twój post nic nie wnosi. Takie rzeczy załatwia się na pw.

[batman]

Ja to tak rozumiem:

ad. 3. Tutaj chodzi o to, do jakiej roli należy dany użytkownik. Po zalogowaniu powinno się pokazać "Witaj Jan Kowalski (admin)" lub "Witaj Jan Kowalski (użytkownik)".

ad. 5. Użytkownik wchodzi na stronę. Na stronie wyświetla mu się formularz, w którym znajduje się ukryte pole z ciągiem cyfr (za każdym razem inny). Użytkownik podaje w formularzu login i hasło. W javascript obliczany jest hash na podstawie hasła oraz przesłanego ciągu cyfr. Po stronie serwera obliczany jest hash z zapamiętanego ciągu cyfr (nie tego z formularza, ponieważ to można podmienić) oraz hasła i porównywany z przesłanym hashem. Nie wiem po co takie kombinowanie.

ad. 6. W tym zadaniu chodzi o to, że po pewnym czasie bezczynności, użytkownik jest wylogowany.

ad. 8. Tak jak napisałeś. Hasło jednorazowe, czyli takie, które zostało wysłane SMS-em/mailem lub odczytane z listy haseł jednorazowych.

Powód edycji: [batman]: