just a n00b
Дата: 21.08.2006 17:08:00
Мне необходимо написать авторизацию через веб интерфейс для входа в проэкт, работающий с базой данных, подскажите, где можно найти достаточно инфы по этому поводу, желательно с использованием перла.
Пока мои идеи сводятся к следующему: существует таблица с именем пользователя, паролем и определённой индивидуальной информацией (например, зашифрованной по md5 строки, содержащей пароль, айпишник, версию браузера и что-нибудь ещё). Эта информация записывается в базу при успешном совпадении введённого пользователем пароля и его хэша, взятого из базы. При успешной аутентификации, пользователю передаются куки, в которых содержится его имя. В начале каждого скрипта вызывается функция, генерирующая ту же самую индивидуальную инфу, которая была введена пользователем при логине. Затем проверяется совпадение имени пользователя и этой информации со значениями, хранящимися в базе, на основе чего и принимается решение - послать пользователя на страницу авторизации или продолжить выполнение скрипта. Соедение осуществляется через SSL.
Хотелось бы узнать, насколько безопасна схема, описанная мной выше.
yarnik
Дата: 24.08.2006 16:06:05
вообщем я тоже начинаю писать авторизацию на перл и мускуле.
пока думаю сделать так:
1. юзер указывает мыло, логин и пароль
2. все это дело записывается в таблицу + ИД + временный код
3. на мыло отправляется ссылка с ИД и кодом
4. при подтверждении регистрации проверяется ИД=БД_ИД и КОД=БД_КОД
5. если все верно ставится пометка в таблице что подтверждение регистрации пришло.
6. при авторизации сравнивается ЛОГИН=БД_ЛОГИН и ПАСС=БД_ПАСС
7. если верно то в куки буду записывать ИД и КОД
8. при необходимости буду сравнивать ИД и КОД
9. возможно КОД будет меняться все время автоматически