لاگین و احراز هویت

[demonvictor]

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.