Klasa uwierzytelnienia Opcje

[eMartio]

Witam na forum Od 2 lat programuje strukturalnie. Jednak od obecnie jestem w trakcie migracji na programowanie zorientowane obiektowo.

Czy mógłby ktoś z Szanowanych Forumowiczów pokazać mi jak stworzyć przy OOP prostą klasę uwierzytelniającą? Chodzi o to, że chciałbym, aby klasa ta sprawdzała czy user jest zalogowany, jak tak, to kontynuuje działanie aplikacji, a jak nie to ma odesłać na stronę z formularzem logowania.

Stworzyłem coś takiego:

[PHP] pobierz, plaintext 
<?php
class MojeUwierzytelnianie {
	_construct () {
		session_start();
		if ($this->czy_zalogowany()) return TRUE;
	}
 
	function czy_zalgowany() {
		if ($_SESSION['id_user']) {
			return TRUE;
		} else {
			header('location: formularz_logowania.php');
		}
	}
}
?>
[PHP] pobierz, plaintext 

Chyba jednak nie jest to prawidłowo skonstruowana klasa? Proszę o pomoc i radę.

[bigZbig]

Jesli chodzi o poprawnosc skladni w PHP5 to:

[PHP] pobierz, plaintext 
<?php
class MojeUwierzytelnianie {
 
	public function _construct () {
		session_start();
		if ($this->czy_zalogowany()) return TRUE;
	}
 
	public function czy_zalgowany() {
		if ($_SESSION['id_user']) {
			return TRUE;
		} else {
			header('location: formularz_logowania.php');
		}
	}
}
?>
[PHP] pobierz, plaintext 

[NuLL]

[PHP] pobierz, plaintext 
<?php
 
class user
{
    private 
        $userId;
    
    public static function instance()
    {
        static 
            $userObj;
            
        if($userObj==null)
        {
            $userObj=&new user();
        }
        
        return $userObj;
    }
    
    private function __construct()
    {
        $this->userId=0;
    }
    
    public function login($login,$password)
    {
        //funkcja logujaca
        
        //tutaj sie przypisuje $this->userId;
    }
    
    public function isLogged()
    {
        return intval($this->userId)>0;
    }
    
    public function logout()
    {
        $this->userId=0;
    }
}
 
?>
[PHP] pobierz, plaintext 

A moze tak ? Kazdy user ma jakis tam id ktory przypisujesz. Jesli id jest rowny zero to oznacza ze jest to gosc. Co do dwoch pierwszych method odsylam do manuala i wzorca singleton : http://pl2.php.net/manual/en/language.oop5.patterns.php

[Martio_L]

[PHP] pobierz, plaintext 
<?php
 
class user
{
	private 
		$userId;
 
	public static function instance()
	{
		static 
			$userObj;
 
		if($userObj==null)
		{
			$userObj=&new user();
		}
 
		return $userObj;
	}
 
	private function __construct()
	{
		$this->userId=0;
	}
 
	public function login($login,$password)
	{
		//funkcja logujaca
 
		//tutaj sie przypisuje $this->userId;
	}
 
	public function isLogged()
	{
		return intval($this->userId)>0;
	}
 
	public function logout()
	{
		$this->userId=0;
	}
}
 
?>
[PHP] pobierz, plaintext 

A moze tak ? Kazdy user ma jakis tam id ktory przypisujesz. Jesli id jest rowny zero to oznacza ze jest to gosc. Co do dwoch pierwszych method odsylam do manuala i wzorca singleton : http://pl2.php.net/manual/en/language.oop5.patterns.php

Dziękuję. Może mi trochę wytłumaczyć działanie tej klasy? Z tego, co na szybkiego przeanalizowałem, klasa ta nie sprawdza zmiennej sesyjnej, abym móc użyć klasy na wielu stronach?

[NuLL]

Sesje tu trzeba dodac
W systemie masz jeden egzemplarz takiej klasy reprezentujacy uzytkownika. W metodach __contruct,login,logout trzeba dodac obsluge sesji. W konstruktorze sprawdzasz czy jest moze stara sesja - jesli tak to ja zaladowac. W funkcji login tworzysz odpowiednie zmienne sesyjne w logout je czyscisz i session_destroy().

[eMartio]

Jakie uwierzytelnienie (sprawdzenie na podstronie czy user jest zalogowany) jest najbardziej optymalne i bezpieczne?

Obiło mi się o uszy, że używanie zmiennych sesyjnych nie jest bezpieczne.

Zawsze robiłem tak:

[PHP] pobierz, plaintext 
<?php
if (!$_SESSION['id_usera']) { header('location: formularz.php5'); }
?>
[PHP] pobierz, plaintext 

poprawiam
---
nospor


Jak powyższą składnię wstawić do klasy NuLLa? Jak to zrobić przy modelu MVC? Konstruktor powinien odsyłać do formularza czy model czyli ta klasa?

Proszę o pomoc.

[Ociu]

[PHP] pobierz, plaintext 
<?php
public function login($login, $password) {
if($login == LOGIN && $password == PASSWORD) {
$this->userId = 12;
}
}
?>
[PHP] pobierz, plaintext 

logowanie + sprawdzanie

[PHP] pobierz, plaintext 
<?php
$User =  user::insatnce();
$User->login('ociu', 'password');
if(!$User->isLogged) header('Location: form.php');
?>
[PHP] pobierz, plaintext 

[splatch]

@NuLL odesłałeś do manuala a sam nie użyłeś pola statycznego, które w przykładzie na php.net jest

[PHP] pobierz, plaintext 
<?php
class user {
	private $userId;
 
	// po co sa pola statyczne w PHP5?
	static protected $userObj;
 
	public static function instance() {
		if(self::$userObj==null) {
			self::$userObj = new self;
		}
		return self::$userObj;
	}
   // ...
}
?>
[PHP] pobierz, plaintext 

[eMartio]

OK. Dzięki. To tylko ostatnia kwestia. Czy uwierzytelnianie oparte na sesjach standardowych jest bezpieczne? Czy lepiej oprzeć to o własną obsługę sesji zapisywaną w bazie danych?

[sf]

OK. Dzięki. To tylko ostatnia kwestia. Czy uwierzytelnianie oparte na sesjach standardowych jest bezpieczne? Czy lepiej oprzeć to o własną obsługę sesji zapisywaną w bazie danych?

Wydaje mi sie, ze jest o ile nie ma dostepu do Twoich plikow sesyjnych inny uzytkownik.

Ten post edytował sf 24.01.2006, 15:37:32

[UDAT]

@szczurek
Czytaj przykłady.

[PHP] pobierz, plaintext 
<?php
$User =  user::insatnce();
$User->login('ociu', 'password');
if(!$User->isLogged) header('Location: form.php');
?>
[PHP] pobierz, plaintext 

Tak tego się używa, bo to jest Singleton.

[szczurek]

Tak, dzięki. Przeczytałem to jeszcze raz dlatego wykasowałem swój post.

[Turgon]

sf każdy ma dostęp do katalogu /tmp, a tam trzymane są dane sesji. Moje info opieram na PHP5 Zaawansowane Programowanie.