 [php] Logowanie bezpośrendnio z linku? |
| [php] Logowanie bezpośrendnio z linku? |
 26.10.2016, 10:56:01
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 138 Pomógł: 0 Dołączył: 7.01.2015 Ostrzeżenie: (0%) 
 |
Witam.
Potrzebuje przygotować link, za pomoca którego dany user będzie mogl sie logować do serwisu na swoje konto. Obecnie formularz logowania wysyla haslo i login za pmocą metody POST. Trzeba bedzie wiec skryptowi również umożliwić logowanie za pomocą danych wysylanych metodą GET. Nie chciałbym w liku udostępniać login i haslo. Jak to zmozna zorganizowac? Czy moze iśc innąstroną i kazac za pierwszym razem sie logowac a poznije sesje pamietac w cookies? Tylko , ze mam problem gdyz od dluzszegoczasu nie moge poprawnie uruchomic tego mechnizmu. Ten post edytował starterrrrr 26.10.2016, 10:56:54 |
 |
 
|
 |
|
26.10.2016, 11:07:08
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 45 Pomógł: 1 Dołączył: 27.10.2015 Ostrzeżenie: (0%)
|
Na przykład jakimś kodem generowanym losowo
|
|
|
|
|
26.10.2016, 11:22:54
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 6 378 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)
|
Z twoich słów by wynikało że masz dostęp do haseł zapisanych czystym tekstem. Mam nadzieję że się mylę. A dlaczego nie przekierujesz niezalogowanego do strony logowania a potem ponownie do pierwotnej?
-------------------- |
|
|
|
|
26.10.2016, 12:28:51
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 138 Pomógł: 0 Dołączył: 7.01.2015 Ostrzeżenie: (0%)
|
Cytat(nansss93 @ 26.10.2016, 12:07:08 )  Na przykład jakimś kodem generowanym losowo sam nie wiem.Taki kod przetrzymywac tak samo jak haslo? W sumie tez mozna go podgladnac :/ Cytat(viking @ 26.10.2016, 12:22:54 ) Z twoich słów by wynikało że masz dostęp do haseł zapisanych czystym tekstem. Mam nadzieję że się mylę. A dlaczego nie przekierujesz niezalogowanego do strony logowania a potem ponownie do pierwotnej? Hasła są zakodowane, najnowszym dostępnym mechanizmem w php 5.5 Nie chce przekierowac do logowania, bo zalezy mi na usprawnieniau dzialania. Bedzie tam od razu wykonywana akcja, wyświetli się formularz. Ten post edytował starterrrrr 26.10.2016, 12:44:22 |
|
|
|
|
26.10.2016, 12:44:14
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 1 875 Pomógł: 230 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%)
|
Logowanie przez URL, to zły pomysł.
Ale jak trzeba to trzeba. Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już. Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie. |
|
|
|
|
26.10.2016, 13:02:51
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 138 Pomógł: 0 Dołączył: 7.01.2015 Ostrzeżenie: (0%)
|
Cytat(Tomplus @ 26.10.2016, 13:44:14 ) Logowanie przez URL, to zły pomysł. Ale jak trzeba to trzeba. Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już. Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie. Ok, rozumie. Co do adresu IP moze byc problem, Mac juz bardziej. Chodzi mi o to, ze chcialem wstawic na talafonie i na pasku przeglądarki przycisk "Dodaj artykul", tak, zeby mozna bylo kliknac i od razu dodawactresc artykułu do bloga. |
|
|
|
|
26.10.2016, 13:10:55
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 6 378 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)
|
To może lepiej ajaxowe logowanie?
-------------------- |
|
|
|
|
27.10.2016, 08:44:04
Post
#8
|
|
 Grupa: Zarejestrowani Postów: 279 Pomógł: 42 Dołączył: 10.10.2011 Ostrzeżenie: (0%)
|
Ja utworzyłbym route http://domena/login/user/password/check, gdzie login i password to hash usera z saltem, a chek to hash salta, dodatkowo można zabezpieczyć to generując check dla konkretnego logowania, tj. podczas generowania linka do zalogowania użyć jednorazowego salta który leci do bazy i po poprawnym zalogowaniu zeruje się.
|
|
|
|
|
27.10.2016, 11:02:38
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 1 875 Pomógł: 230 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%)
|
Nie wiem jak rozwiązane jest to na Facebook czy Wordpress, ale tam jest możliwość tworzenia postów na grupie/stronie z poziomu email.
|
|
|
|
|
27.10.2016, 11:49:53
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%)
|
Cytat sam nie wiem.Taki kod przetrzymywac tak samo jak haslo? W sumie tez mozna go podgladnac :/ A id sesji, który jest tak samo losowy, jak proponowany hash to już nie można podglądnąć? Hmmm..?Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach: 1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token 2. Token musi być długi. 3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić). 4. Tokeny mają datę ważności. 5. Po skorzystaniu z tokenu taki token wraca do puli. |
|
|
|
|
27.10.2016, 12:14:02
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 279 Pomógł: 42 Dołączył: 10.10.2011 Ostrzeżenie: (0%)
|
Cytat(lukaskolista @ 27.10.2016, 12:49:53 ) A id sesji, który jest tak samo losowy, jak proponowany hash to już nie można podglądnąć? Hmmm..? Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach: 1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token 2. Token musi być długi. 3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić). 4. Tokeny mają datę ważności. 5. Po skorzystaniu z tokenu taki token wraca do puli. Dokładnie tak. |
|
|
|
 |
|
Wersja Lo-Fi | Aktualny czas: 19.07.2025 - 06:27 |
