Доброго времени суток всем!

Я задался таким вопросом: как написать наиболее удачную регистрацию/авторизацию пользователей на моем сайте.

Прежде всего я думал о том, по какому полю следует идентифицировать пользователя. Т.к. на моем сайте подразумевается регистрация как физ. лиц, так и юр., то я решил сделать не ФИО или ник идентифицирующем полем, а адрес электронной почты. Если кто-то считает, что я ошибся, просьба обосновать/предложить свое решение.

Далее, встал более глобальный вопрос: как и куда запоминать, что пользователь "успешно авторизировался"? Сперва в голову пришла стандартная идея хранения в куках логина (в нашем случае e-mail`а и зашифрованного пароля). Так же в БД можно хранить "соль" и т.д. и т.п. Но затем мне в голову пришла идея, а то если воспользоваться более продвинутым (?) алгоритмом хранения авторизации - сессии. Что если назначать пользователю, который успешно ввел свои данные, уникальную сессию и хранить в куках именно ее? Тогда можно не меняя пароля, сбросить данную сессию. А можно даже устанавливать ей свое время жизни. В общем эта идея показалась мне более продвинутой.

Но все же решил я посоветоваться с вами, гуру php, как считаете - какой вариант хранения оптимальнее?

У меня рабочий e-mail, который я считал самым "надежным" уже сменился, причем безвозвратно. Самым "живучим" моим почтовым адресом стоит считать адрес на mail.ru 

Для Юр лиц часть бывает, что меняются секретари. У каждого может быть собственный адрес. Что делать - перерегистировать?

К тому-же регистрация по адресу email - еще один способ засветить адрес для спам-рассылки. Нужно отдельно с этим бороться...

Данный адрес (а фактически логин) нигде показываться не будет. Он служит только для определения уникальности. Но в принципе, повторюсь, от этой идеи можно отказаться обратно в сторону обычного логина. А что делать с моим главным вопросом?

Если нужна строчка -- сейчас у нас 25 юзеров на сайте, то нужно завести таблицу - "Юзеры online" с датой последней активности и sessid. 
Всю полезную юзеру информацию хранить в сессии. Обычно этого хватает

Это сообщение отредактировал(а) ksnk - 4.5.2009, 12:30

Когда читал, растерялся маленько. А чем стандартный механизм сессий не подходит?

сессию можно привязывать к ip, оно по-моиму по-умолчанию редко где привязыается? и при входе чтобы можно было задать время жизни сессии...

если кто-то украдет сессию, то у себя на компе может под логином зайти, тот тут можно привзять айпи по которому она была привязана (но айпи тоже можно вынести любой наружу, так что хз)

на движках болиших, еще сделано чтобы форум переспрашивал пароль админа, тогжа когда админ заходит в админку, через какое-то время, если админ не был активный...

еще модно использовать JSON http://ua.php.net/manual/en/ref.json.php

Это сообщение отредактировал(а) gcc - 4.5.2009, 14:24

Мы не о том совсем.
Если вас смущает слово сессия, я могу назвать это "уникальной строкой, идентифицирующей пользователя". Не суть.
Вопрос такой: что лучше А или Б?
А) хранить в куках логин/пароль и проверять при каждом заходе их.
тогда если украдут куки - могут узнать и пароль.
тогда администратор сайта не может без ведома пользователя обезопасить его (ибо если сменит ему праоль, пользователь об этом узнает)
Б) хранить в куках уникальную строку
тогда, можно менять ее каждые сутки, что снизит шансы на ее кражу (а даже если она была сворована и вор потихому сидел под чужой уник. строкой, то не больше суток).
тогда же при краже вор НЕ УЗНАЕТ сам пароль пользователя

Мне кажется второй вариант лучше, но почему везде используется первый?

второй лучше, где используется первый?

хотя там можно закриптограифровать пароль, хорошо "посолить"
http://ru.wikipedia.org/wiki/Радужная_таблица
http://www.usenix.org/events/usenix99/prov...tml/node10.html


Это сообщение отредактировал(а) gcc - 4.5.2009, 17:54

Как это где? На данном форуме, например. То есть разработчики IPB из года в год выбирают худший вариант?

Aliance, сайт должен запоминать пользователя? т.е. автоматическая авторизация при последующем заходе нужна? если да - то первый вариант, если нет - стандартный механизм сессий в пхп

Должен запоминать. Но какая разница сайту что будет хранится в куках - логин или сессия. НЕ СТАНДАРТНАЯ СЕССИЯ, а сессия (или уникальный номер авторизации, если кому угодно) хранится в куках. Я не знаю как еще объяснить, если уже третий раз Вы пишете про стандартную session_start() - я говорю НЕ ПРО НЕЕ.
За примером далеко ходить не нужно - Zend Framework предлагает авторизацию, основанную именно на таком механизме.

Я всегда делаю так, мне так больше нравится в выглядит безопаснее. Украсть её можно, но вот только уже не хэш пароля.   

 А классический вариант?
Хранить логин и хэш.

Б - мне кажется лучше потому что:
- идентифицировать кто это по хэшу можем только мы
- меньше ненужной информации в куках
- если всё же хэш украли, то войдя заново в профиль хэш меняется 

nerezus, аргументация?


Elfet, спасибо. Тоже придерживаюсь этого варианта.