لاگین و احراز هویت

**Gh-Moradi** · January 30th, 2020, 15:53

سلام. دارم یه بلاگ خبری میسازم که چنتا نقش هم داره. دوستان لطف کنید سناریوی کلی از لاگین کاربر تا عملیات مدیریتی (crud) رو تعریف کنید.
مثلا موقع لاگین کردن چه مقادیری روی کوکی ست کنم؟
بعد از لاگین چه مواردی رو رعایت کنم که مشکل امنیتی پیش نیاد؟

**rezaonline.net** · February 1st, 2020, 17:55

http://www.tonymarston.net/php-mysql...s-control.html
https://github.com/gburtini/PHP-ACL

**Gh-Moradi** · February 5th, 2020, 18:10

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

**demonvictor** · February 5th, 2020, 22:12

نوشته اصلی توسط Gh-Moradi

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

**Gh-Moradi** · February 6th, 2020, 00:30

نوشته اصلی توسط demonvictor

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

**demonvictor** · February 6th, 2020, 01:19

نوشته اصلی توسط Gh-Moradi

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

**Gh-Moradi** · February 6th, 2020, 11:44

نوشته اصلی توسط demonvictor

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

مشکلش چیه لطفا توضیح بدید

**demonvictor** · February 9th, 2020, 09:08

از فریم ورک استفاده کنین.

موضوع: لاگین و احراز هویت

ابزارهای موضوع

نحوه نمایش موضوع

Hybrid View

لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

تعداد تشکر ها از rezaonline.net به دلیل پست مفید

پاسخ : لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

پاسخ : لاگین و احراز هویت

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

حساب بانکی جاری آمریکا به نام شما با هویت خارجی

عضویت و ورود مشتری با حساب گوگل

نحوه عضویت در یاهو

عضویت در نظام صنفی رایانه ای اجباریه؟

مجوز های ارسال و ویرایش