Как можно просто реализовать простую афторизацию на своём сайте? Пишу тобишь сайт для себя и лень делать сложную авторизацию. Может есть простой способ?

Вот так можно?

1) Поставить куки админа.
2) Скрипт ставящий куки удалить.
3) Распознавать админа по кукам и продлевать срок их действия.

если доступ надо полностью ограничить на некий скрипт или папку - юзай авторизацию через .htaccess
если возможен доступ к одному скрипту пользователей с разным уровнем доступа, тогда неплохой вариант - использование PEAR (Auth_HTTP) - понадобится всего несколько строчек кода
правда Auth_HTTP работает только если php наcтроен модулем апача

иначе - сессии



ИМХО, не лучший вариант в плане безопасности
зато, признаю, самый простой (если не считать .htaccess)

А может кто-нибудь про Auth_HTTP расказать?

да там, в принципе, все в мануале есть

экзампл из мана:


как видишь - все предельно просто
создаешь в БД таблицу вида login-password (если нету БД можно использовать файлы или что-нить другое - контейнеров для паролей там много)
вписываешь в этот кусок кода данные по БД и вставляешь в начало своего скрипта
и все, собсна

про dsn можно почитать в мане по PEAR:DB

хотя я предпочитаю .htacess ))

Имхо, Google может....
http://dmitry.ints.net/library/prog/link/P....auth_http.html

Опоздал...)

Это сообщение отредактировал(а) IvanB - 8.4.2006, 12:36

Ок спасибо! Не хотелось использовать базу.
А вот так вот безопасно будет?

$kernel->html->login(0); - форма ввода пароля
$kernel->html->login(1); - Говория что удачно вошли
$kernel->html->login(2); - Говорим что удачно вышли

Такая авторизация по md5 на одни час (md5($myPas.$myPas_date)) из хеш пароля. С солью

? А зачем два раза md5 применять?
Вроде одного хватать должно....)
Хотя генерация хеша - исключительно дело вкуса....)

Это сообщение отредактировал(а) IvanB - 8.4.2006, 14:14

вот кто-то удивится, когда после трех суток работы md5_inside получит еще один хеш и строчку с временем...

Просветите ламера в этом деле. Хэш на куки ставится - чтобы уберечь куки от CSS-атаки (или как ещё их можно узнать)?

md5($myPas.$myPas_date) - это что бы хэш которые записываеться в куки работал только один час

Может я щас бред скажу, но может просто создать файл с названием типа vjshfhsduihiuvhsd.php
Прописать в нём админку без всяких сессий и кук. Фик туда кто попадёт - название то...

Можно, но мне нужно лазить по самому сайту как админ.

Задним умом догнал но я думал, что хэши ещё используются для "дополнительной" защиты. Зачем, например, хранить пароли форумов в хэше, ведь там он временно-независимый? Или я что-то путаю и хэши используются только с модификаторами, чтобы из двух ключей сделать один?

Wolf1994,
Чёт я не понял о чём ты Хэши нужны для авторизации юзеров. Что бы каждый раз не вводить пароль повторно

Так как насчёт моего кода? Кто-нибудь может сказать безопасен ли он?

Я всё никак не могу понять - зачем использовать эти хэши. Чем отличается хранение пароля в хэше и в простом, незакодированном, виде?

То есть, я так понимаю, при добавлении в хэш времени, придаётся дополнительная защита. А если использовать всего один параметр - сам пароль - зачем хэш?

найдут запросто
более того, этот файл еще и поисковики, скорее всего, проиндексируют (даже если автолистинг папок отключен)



хеши используются для кодирования паролей
даже если ты знаешь хеш пароля, восставновление по нему самого пароля займет очень много времени
например, на сайте есть дыра под sql-injection позволяющая вывести на экран некую таблицу с хешами паролей
даже если злобный хакер ) эту дыру найдет, получить пароль админа он все равно не сможет

А что мешает этому хакеру установить соответсвующий кук с полученным хэшем? Ведь проверка идёт по кукам?

Да вобщем ничего не мешает. В куки записывать конфединциальную информацию нельзя.

абсолютно ничто
поэтому куки лучше всего использовать (при создании системы авторизации) только для хранения идентификатора сессии
а на сами сессии ставить ограниченный срок существования



все бы хорошо, но раз в час пользователю придется вводить пароль по-новой

я бы все же использовал сессии...
а еще лучше - .htaccess

А чем безвременные куки хуже сессий? Если вывод информации фильтруется (htmlspecialchars ()) и они не лежат в MySQL-базе, то ведь их нет возможности узнать?

Куки можно перехватить, а сессия хранится на сервере.

В том и заключаеться защита, что бы куки никто не воровал. Мой код имитирует сессии Очень простенько

А то что каждый раз вводить новые - это да, но ведь я же хочу это для себя еделать только.
Кстати такие штуки и в больших скриптах авторизации есть, например на masterhostе при входе в СР указываешь сколько будет длиться сессия

Любой человек, имеющий доступ к аццесс логу апача увидит полный путь к твоей админке...

Чтобы их никто не воровал, необходимо, как минимум, привязать к идентификатору сессии, передающемуся с помощью cookies, IP.

Мой пример:

Это сообщение отредактировал(а) paraZite - 10.4.2006, 22:13

paraZite, твой скрипт зациклится, т.к. ты при всех условиях перенаправляешь на этот же скрипт.

хз... если логин и пасс не введены, а кукисы невалидны идёт вызов die();
если введены логин и пассс и они валидны, выставляются куки и скрипт редиректит пользователя сам на себя, а так как кукисы уже не пусты, скрипт завершает свою работу, опознав пользователя...

Ща протестю ещё раз на всякий случай...
У меня ничего не циклится.

Это сообщение отредактировал(а) paraZite - 10.4.2006, 22:44

Имхо, для улучшения безопасности содержимое кукиса желательно завязывать на IP пользователя и ID сессии (или что там у вас)...
Извините, если не то.....)

Это все понятно А попробуйте сделать тоже самое без базы, как можно проще ;)

Через файлы, чтоли?

Нет, воотбе без использования бд Нужен был простой, самый простой способ авторизации