здравствуйте
пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи)
авторизация:
есть несколько способов
способ 1:
юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию.
способ 2:
при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки.

теперь функция запомнить мои данные на этом компьютере.
тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход?
способ 3.
поставил и настроил https.
следующий вопрос, допустим я открыл страницу авторизации через https. вошел, потом редирект на обычную версию. если я запишу безопасную куку. то если произойдет редирект кука станет недоступна. как тогда организовать запоминание?
спасибо

Если надо защититься от воровства cookies есть отличная вещь - HttpOnly (но тогда cookies не сможет увидеть и Ваш родной js, если он их использует)

А привязка может быть не только к IP, некоторые CMS практикуют проверку имени/версии браузера, операционку ..... в общем любая личная инфа от клиента. Но в основном конечно же cookie



Это сообщение отредактировал(а) Jasmine - 7.2.2011, 02:03