Witam.
Potrzebuje przygotować link, za pomoca którego dany user będzie mogl sie logować do serwisu na swoje konto.
Obecnie formularz logowania wysyla haslo i login za pmocą metody POST.
Trzeba bedzie wiec skryptowi również umożliwić logowanie za pomocą danych wysylanych metodą GET.
Nie chciałbym w liku udostępniać login i haslo. Jak to zmozna zorganizowac?
Czy moze iśc innąstroną i kazac za pierwszym razem sie logowac a poznije sesje pamietac w cookies? Tylko , ze mam problem gdyz od dluzszegoczasu nie moge poprawnie uruchomic tego mechnizmu.
Pełna wersja: [php] Logowanie bezpośrendnio z linku?
Na przykład jakimś kodem generowanym losowo 
Z twoich słów by wynikało że masz dostęp do haseł zapisanych czystym tekstem. Mam nadzieję że się mylę. A dlaczego nie przekierujesz niezalogowanego do strony logowania a potem ponownie do pierwotnej?
Cytat(nansss93 @ 26.10.2016, 12:07:08 ) 
Na przykład jakimś kodem generowanym losowo
sam nie wiem.Taki kod przetrzymywac tak samo jak haslo? W sumie tez mozna go podgladnac :/
Cytat(viking @ 26.10.2016, 12:22:54 )
Z twoich słów by wynikało że masz dostęp do haseł zapisanych czystym tekstem. Mam nadzieję że się mylę. A dlaczego nie przekierujesz niezalogowanego do strony logowania a potem ponownie do pierwotnej?
Hasła są zakodowane, najnowszym dostępnym mechanizmem w php 5.5
Nie chce przekierowac do logowania, bo zalezy mi na usprawnieniau dzialania. Bedzie tam od razu wykonywana akcja, wyświetli się formularz.
Logowanie przez URL, to zły pomysł.
Ale jak trzeba to trzeba.
Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już.
Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie.
Ale jak trzeba to trzeba.
Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już.
Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie.
Cytat(Tomplus @ 26.10.2016, 13:44:14 )
Logowanie przez URL, to zły pomysł.
Ale jak trzeba to trzeba.
Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już.
Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie.
Ale jak trzeba to trzeba.
Jeżeli masz zamkniętą grupę osób, o unikalnych IP. To możesz przypisać pod użytkownika dane IP. Ew. MAC Address jeżeli już.
Ew. tworzysz integrację z Facebook, Google czy Twitter. Po weryfikacji przez dane medium, użytkownik będzie z automatu zalogowany na twojej stronie.
Ok, rozumie. Co do adresu IP moze byc problem, Mac juz bardziej.
Chodzi mi o to, ze chcialem wstawic na talafonie i na pasku przeglądarki przycisk "Dodaj artykul", tak, zeby mozna bylo kliknac i od razu dodawactresc artykułu do bloga.
To może lepiej ajaxowe logowanie?
Ja utworzyłbym route http://domena/login/user/password/check, gdzie login i password to hash usera z saltem, a chek to hash salta, dodatkowo można zabezpieczyć to generując check dla konkretnego logowania, tj. podczas generowania linka do zalogowania użyć jednorazowego salta który leci do bazy i po poprawnym zalogowaniu zeruje się.
Nie wiem jak rozwiązane jest to na Facebook czy Wordpress, ale tam jest możliwość tworzenia postów na grupie/stronie z poziomu email.
Cytat
sam nie wiem.Taki kod przetrzymywac tak samo jak haslo? W sumie tez mozna go podgladnac :/
A id sesji, który jest tak samo losowy, jak proponowany hash to już nie można podglądnąć? Hmmm..?Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach:
1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token
2. Token musi być długi.
3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić).
4. Tokeny mają datę ważności.
5. Po skorzystaniu z tokenu taki token wraca do puli.
Cytat(lukaskolista @ 27.10.2016, 12:49:53 )
A id sesji, który jest tak samo losowy, jak proponowany hash to już nie można podglądnąć? Hmmm..?
Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach:
1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token
2. Token musi być długi.
3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić).
4. Tokeny mają datę ważności.
5. Po skorzystaniu z tokenu taki token wraca do puli.
Co do mechanizmu tokenów, to jest to najlepszy sposób na rozwiązywanie takich problemów przy kilku założeniach:
1. Utrzymujesz małą liczbę aktywnych tokenów per user (najlepeij 1), żeby nie dało się wygenerować dużej puli i dość łatwo trafić aktywny token
2. Token musi być długi.
3. Token musi być losowy - generowanie na podstawie czynników możliwych do przewidzenia, jak czas odpada (wystarczy uderzyć o token w odpowiednim czasie i znając algorytm można taki token bez problemu trafić).
4. Tokeny mają datę ważności.
5. Po skorzystaniu z tokenu taki token wraca do puli.
Dokładnie tak.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.