Forum Webscript.Ru
Программирование => PHP => Тема начата: grisha от 11 Апреля 2006, 16:37:41
-
привет всем.... такой вопрс.. как организовать аутентификацию на сайте... т.е. организовать закрытую зону с паролем и логином, там надо чтото вроде https организовывать может кто знает
-
Должно помочь это
Пароль на страницу (http://phpclub.ru/detail/article/page_password1)
Пароль на страницу, часть 2 (http://phpclub.ru/detail/article/page_password2)
А поиск по форуму помогает ещё больше ))))
-
grisha
html_coder + попутно рекомендую сразу обратиться к пониманию механизма работы сессий (по соотв. факам).
Способы разные бывают.
-
CGVictor
А при чём тут понимание механизма сессий? Сессии это как один из вариантов, никто не говорит что он лучший ))))
-
[off]html_coder
Пусть лучше сразу вкурит - не будет в сотый раз вопросов "а как мне отследить пользователя по сайту".[/off]
-
вопервых что такое html_coder во вторых что думаю я смогу отследить юзеров на сайте дело не в это .... как я себе представляю систему вводим пароль логин и на защищ страницах стоит скрипт кторый это всё обрабатывает.... но там я чото слышал про снифание трафика и т.д. , https и ssl вот хотел узнать как всё это настроить поднять и связать с php
-
Вообще html_coder это человек. Если посмотреть выше, то можно это понять... )
-
ах да !!!! :) простите ник не заметил.... блин совсем затуркался а думал какйто программный пакет :))))))))))))))) хы хы хы
-
Твой вопрос как сделать аутентификацию или что?
Если тебе нужно реализовать аутентификацию, то тебе надо пройти по двум ссылкам, которые я тебе давал выше, плюс почитать о сессиях.
Протокол HTTPS ничего не меняет для программиста как такового, просто данные по сети идут в зашифрованном виде.
Если тебе нужно разобраться как настроить HTTPS на своём сервере, то я думаю, что скорее всего тебе помогут в другом форуме, а именно Веб сервера (http://forums.webscript.ru/forumdisplay.php?s=&forumid=38)
-
ясно.... значит там надо это замуть.... просто служность в том что я плохо себе представляю что это такое поэтому трудно сформулировать вопрос... но серовно спасибо за комментарии... щас замучу на серверах :)
-
grisha
Так, тут нужен ликбез.
Отвечаю развернуто.
Задача скрипта аутентификации - определить, кем является пользователь. Чтобы потом дать эти данные скрипту авторизации, который определит, что этот пользователь может/не может делать.
Часто эти скрипты совмещены в один.
Таким образом, нам нужно на основании каких-то данных определить, что это за пользователь.
Простейший способ - получить от пользователя логин и пароль. Проверив их, сделаем вывод: может ли пользователь выполнять некое действие.
Однако, запрашивать у пользователя каждый раз его логин и пароль во-первых, неудобно (хотя, например, HTTP Basic Auth в браузерах именно такую схему и использует, снимая с пользователя заботу о постоянной передаче учетных данных), во-вторых - небезопасно (учетные данные летят по сети при каждом запросе).
Поэтому имеет смысл выдать пользователю после первого входа некий идентификатор, который сложно подобрать и который действует ограниченное время, а на сервере соотносить идентификатор с учетными данными. Чтобы он не истек раньше времени, можно пользователю при ответе и новый выдать.
Именно эта схема используется во всех сессионных и псевдо-сессионных механизмах, а идентификатор называется session id.
Однако, есть способы обеспечения безопасности, от серверных скриптов мало зависящие. Например, HTTPS. HTTPS - это передача HTTP траффика через канал передачи, защищенный при помощи протоколов SSL и/или TLS. SSL - защита соединения, TLS - канала передачи. Связку SSL/TLS часто называют туннелирующей, т.к. из такого канала получить передаваемые данные достаточно сложно.
Для PHP такой канал ничем не отличается от обычного HTTP. Настройки производятся на http-сервере.