/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Login system
Fra : Michael Bested


Dato : 14-11-01 12:40

Jeg står og skal lave et login system....

Jeg har nogle forskellige muligheder at lave det på, men vil lige
høre hvad i mener ville være mest optimalt.

Det skal bruges til et større system, på tværs af flere vinduer og
sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
og kundeID

1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk (setcookie();)

2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
oplysninger i database - på en eller anden måde.

3) Medføre oplysninger i alle links, f.eks. <a
href="ting.php?brugernavn=$brugernavn&....">

Måske kunne der laves et eller andet med sessions, men det skal
vi nok glemme i første omgang.

--
Michael Bested
Dansk Master Web Support
support@danskmasterweb.dk
Tlf: 97 85 56 58



 
 
Niels (14-11-2001)
Kommentar
Fra : Niels


Dato : 14-11-01 12:45

"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
Du bør aldrig gemme password i en cookie.... Nøjes med BrugerID og evt.
brugernavn.


--
Niels Henriksen
Systemudvikler
- www.ryttersnak.dk



Thomas Lindgaard (14-11-2001)
Kommentar
Fra : Thomas Lindgaard


Dato : 14-11-01 13:27

Davs

> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)

Jeg sitter lige og prøver at få lov til at logge ind i mit eget system - det
er ikke helt ligetil :)

Det ser således ud:

Ved login smides en cookie, som indeholder: <bruger_id> : crypt(password) :
<timestamp> : <brugers IP>

Når brugeren foretager sig noget sker det så følgende:

Cookie checkes ved at sammenholde timestamp og IP i den med tilsvarende
værdier i databasen - hvis de ikke stemmer overens, er der ugler i mosen.

Bruger checkes naturligvis ud fra ID og det crypt'erede password. Password i
cookien kan ikke umiddelbart forfalskes, da man så både skal kende password,
og det salt crypt er blevet kørt med...

Derudover er der noget timestamp og IP-check...

Håber det gav folket nogle ideer - og hvis der er huller (eller redundans),
så vil jeg gerne vide det :)

/Thomas



Rasmus Windfeldt (15-11-2001)
Kommentar
Fra : Rasmus Windfeldt


Dato : 15-11-01 00:50

Hej

Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
har lavet.
Det fungerer i store træk på følgende måde.
1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
4) tekststrengen sendes til brugeren i en cookie
5) Hver gang brugeren går ind på en ny underside opfriskes cookien
6) Hvis man kliker på "log ud" slettes cookien på maskinen.

Hvilke huller er der så?
Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en ny
bruger kunne komme ind på siden så længe cookien ikke er udløbet. (kan nok
fikses med noget javascript)

Denne fremgangs måde kan også bruges med sessionid. Har set det gjort, men
har ikke selv prøvet.

Mvh Rasmus

"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Jeg står og skal lave et login system....
>
> Jeg har nogle forskellige muligheder at lave det på, men vil lige
> høre hvad i mener ville være mest optimalt.
>
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
>
> 2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
> oplysninger i database - på en eller anden måde.
>
> 3) Medføre oplysninger i alle links, f.eks. <a
> href="ting.php?brugernavn=$brugernavn&....">
>
> Måske kunne der laves et eller andet med sessions, men det skal
> vi nok glemme i første omgang.
>
> --
> Michael Bested
> Dansk Master Web Support
> support@danskmasterweb.dk
> Tlf: 97 85 56 58
>
>



Niels Andersen (15-11-2001)
Kommentar
Fra : Niels Andersen


Dato : 15-11-01 22:01

"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...

Jeg bytter lige lidt rundt på rækkefølgen af citaterne. :)

> Hvilke huller er der så?

Tjah, jeg kan da komme i tanker om lidt...

> 1) Brugeren identificere sig med passwd og usrname.

Her er der masser af plads til huller. :)
Men lad os bare sige at kodeordet er et "godt" kodeord, og det bliver
sendt på en måde, så det ikke umiddelbart bliver cachet.

> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en

Tilfældig, og ikke noget med at blande brugernavn og kodeord, ik'?

> 4) tekststrengen sendes til brugeren i en cookie

> Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en
ny
> bruger kunne komme ind på siden så længe cookien ikke er udløbet.

Tjah, behøver jeg at sige, at dette er et hul?
Hvorfor dog ikke bare bruge en sessions-cookie?

> (kan nok fikses med noget javascript)

Næh. (tillader jeg mig at udtale, uden at gennemtænke det)

> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien

Dette giver egentlig kun mening, hvis du har en rigtig god grund til at
mene, at serverens og klientens ur er nogenlunde synkroniseret.

> Denne fremgangs måde kan også bruges med sessionid. Har set det gjort,
men
> har ikke selv prøvet.

"...med en session". Det er langt nemmere.

1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Det noteres i sessionen, at brugeren er logget ind.
4)
5)
6) Hvis man kliker på "log ud" slettes notatet i session.

--
Mvh.

Niels Andersen



Michael Bested (16-11-2001)
Kommentar
Fra : Michael Bested


Dato : 16-11-01 15:01

"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...

> Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
> har lavet.
> Det fungerer i store træk på følgende måde.
> 1) Brugeren identificere sig med passwd og usrname.
> 2) pass og usr tjekkes i DB'en
> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
> 4) tekststrengen sendes til brugeren i en cookie
> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien
> 6) Hvis man kliker på "log ud" slettes cookien på maskinen.

Det ser ret fornuftigt ud, og den måde har jeg så tænkt mig at bruge!

Men... Hvad hvis brugeren ikke har cookies slået til i sin browser ?


--
Michael Bested
michael@bested.nu
www.bested.nu



Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408857
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste