безопасная авторизация без айпи - PHP

vvsh · 06.02.2011, 20:14

здравствуйте
пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи)
авторизация:
есть несколько способов
способ 1:
юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию.
способ 2:
при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки.

теперь функция запомнить мои данные на этом компьютере.
тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход?
способ 3.
поставил и настроил https.
следующий вопрос, допустим я открыл страницу авторизации через https. вошел, потом редирект на обычную версию. если я запишу безопасную куку. то если произойдет редирект кука станет недоступна. как тогда организовать запоминание?
спасибо

06.02.2011, 20:14	#1
vvsh Web-Master Пользователь Регистрация: 10.06.2008 Сообщений: 31	безопасная авторизация без айпи здравствуйте пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи) авторизация: есть несколько способов способ 1: юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию. способ 2: при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки. теперь функция запомнить мои данные на этом компьютере. тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход? способ 3. поставил и настроил https. следующий вопрос, допустим я открыл страницу авторизации через https. вошел, потом редирект на обычную версию. если я запишу безопасную куку. то если произойдет редирект кука станет недоступна. как тогда организовать запоминание? спасибо Все сделанное нами вернется к нам же... Последний раз редактировалось vvsh; 06.02.2011 в 20:17.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
FTP без белого айпи	skater4	Безопасность, Шифрование	2	23.01.2011 22:17
Авторизация с капчей и без	bulldog5293	Работа с сетью в Delphi	11	25.08.2010 01:17
Не работает повторная авторизация без WebBrowser1.Destroy	Alamo	Работа с сетью в Delphi	0	12.08.2010 13:33
Регистрация/авторизация пользователей при помощи PHP, без использования MySQL.	Web-Gangsta	PHP	30	03.05.2009 18:32
Авторизация по IdHTTP без имени компонента	tuftel	Работа с сетью в Delphi	11	17.03.2009 04:20