(PERL) Авторизация

just a n00b
Дата: 21.08.2006 17:08:00
Мне необходимо написать авторизацию через веб интерфейс для входа в проэкт, работающий с базой данных, подскажите, где можно найти достаточно инфы по этому поводу, желательно с использованием перла.
Пока мои идеи сводятся к следующему: существует таблица с именем пользователя, паролем и определённой индивидуальной информацией (например, зашифрованной по md5 строки, содержащей пароль, айпишник, версию браузера и что-нибудь ещё). Эта информация записывается в базу при успешном совпадении введённого пользователем пароля и его хэша, взятого из базы. При успешной аутентификации, пользователю передаются куки, в которых содержится его имя. В начале каждого скрипта вызывается функция, генерирующая ту же самую индивидуальную инфу, которая была введена пользователем при логине. Затем проверяется совпадение имени пользователя и этой информации со значениями, хранящимися в базе, на основе чего и принимается решение - послать пользователя на страницу авторизации или продолжить выполнение скрипта. Соедение осуществляется через SSL.
Хотелось бы узнать, насколько безопасна схема, описанная мной выше.
Black
Дата: 21.08.2006 17:35:20
поиском пройдитесь
just a n00b
Дата: 22.08.2006 10:18:11
В поиске про перл ничего стоящего нету, а про алгоритмы авторизации вобще ничего конкретного.
Black
Дата: 22.08.2006 10:43:42
а если куки отключены? думаю лучше воспользуйтесь сессиями ...
CGI::Session - persistent session data in CGI applications
Другие модули
just a n00b
Дата: 22.08.2006 15:02:17
Спасибо за ссылки =)
yarnik
Дата: 24.08.2006 16:06:05
вообщем я тоже начинаю писать авторизацию на перл и мускуле.
пока думаю сделать так:
1. юзер указывает мыло, логин и пароль
2. все это дело записывается в таблицу + ИД + временный код
3. на мыло отправляется ссылка с ИД и кодом
4. при подтверждении регистрации проверяется ИД=БД_ИД и КОД=БД_КОД
5. если все верно ставится пометка в таблице что подтверждение регистрации пришло.
6. при авторизации сравнивается ЛОГИН=БД_ЛОГИН и ПАСС=БД_ПАСС
7. если верно то в куки буду записывать ИД и КОД
8. при необходимости буду сравнивать ИД и КОД
9. возможно КОД будет меняться все время автоматически
Black
Дата: 24.08.2006 16:16:15
не изобретайте велосипед, пользуйтесь сессиями!

yarnik
если верно то в куки буду записывать ИД и КОД

Еще раз повторяю, а если теневые посылки отключены?
Anjey aka PM
Дата: 24.08.2006 16:17:26
отличайте ид юзера от ида сессии. юзеру НЕ НУЖНО знать своего ида