Logo MurCode
ASP.NET Новое сообщение

Что хранить в куках для аутентификации?

Darooma
Дата: 30.04.2010 01:25:27
Я сделал свою систему аутентификации с куками. НА сайте майкрософт говорится, что в целях безопасности в куках нельзя хранить имя пользователя или его Id, так как их можно подменить.

Что же тогда можно хранить в куках для аутентификации, если не имя пользователя и не его Id , так, чтобы это было безопасно?!
Достаточно ли будет шифрования?
Яростный Меч
Дата: 30.04.2010 09:36:03
Как вариант:
обычный гуид. В таблице юзеров сделать колонку с гуидом, по ней индекс (для быстрого поиска).
При смене пароля менять гуид.
Darooma
Дата: 30.04.2010 10:41:40
Яростный Меч, придется делать лишнее поля для guid'a ? Не пойдет. Наверное есть способ проще.
qu-qu
Дата: 30.04.2010 10:48:12
Darooma
Я сделал свою систему аутентификации с куками.
...

А смысл?
Darooma
...
Что же тогда можно хранить в куках для аутентификации, если не имя пользователя и не его Id , так, чтобы это было безопасно?!
...

Смотри, что хранят "взрослые дяди" в куках аутентификации ASP.NET Forms-mode - зашифрованный "тикет" (token), который на стороне сервера болтается где-то в сессии клиента и постоянно сравнивается с пришедшим запросе.
Darooma
...
Достаточно ли будет шифрования?

На этот вопрос надо было узнать ответ еще до того как: "Я сделал свою систему аутентификации" (с).
Starlex
Дата: 30.04.2010 11:38:10
Яростный Меч
Как вариант:
обычный гуид. В таблице юзеров сделать колонку с гуидом, по ней индекс (для быстрого поиска).
При смене пароля менять гуид.


А чем хранение логина/пароля в куках отличается от хранения гуида, если зайти на сайт можно будет по гуиду? Или хакеры такие дети, что не знают, что такое гуид? :) Ведь заберут и также зайдут.
Darooma
Дата: 30.04.2010 11:41:41
Starlex
Яростный Меч
Как вариант:
обычный гуид. В таблице юзеров сделать колонку с гуидом, по ней индекс (для быстрого поиска).
При смене пароля менять гуид.


А чем хранение логина/пароля в куках отличается от хранения гуида, если зайти на сайт можно будет по гуиду?

Заходить на сайт можно будет только по логину и паролю.
Starlex
Дата: 30.04.2010 11:42:32
Darooma

Достаточно ли будет шифрования?


Делал как-то шифрование с ключом, в качестве ключа использовал ip пользователя.
Яростный Меч
Дата: 30.04.2010 11:47:14
Starlex
Яростный Меч
Как вариант:
обычный гуид. В таблице юзеров сделать колонку с гуидом, по ней индекс (для быстрого поиска).
При смене пароля менять гуид.


А чем хранение логина/пароля в куках отличается от хранения гуида, если зайти на сайт можно будет по гуиду? Или хакеры такие дети, что не знают, что такое гуид? :) Ведь заберут и также зайдут.
ТС спрашивал насчет ID юзера. Например, на sql.ru вы знаете мой id=114453 и легко можете вставить его в куки, и зайти под мной (если бы авторизация была так устроена). А мой af_remember попробуйте угадать. )
Хранение логина/пароля в куках при кражи кукисов приведет к потере аккаунта.
А вот при моем варианте юзер может заменить пароль и старый кукис окажется недействительным.
ShSerge
Дата: 30.04.2010 11:47:23
Starlex
Делал как-то шифрование с ключом, в качестве ключа использовал ip пользователя.

А если он динамический?
Starlex
Дата: 30.04.2010 11:47:58
Darooma

Заходить на сайт можно будет только по логину и паролю.


Заберут куки вместе с гуидом и также зайдут. :) Или я не правильно понимаю слово "аутентификация".