Kandu.dk - Login system


/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

PHP

#	Navn	Point
1	rfh	3959
2	natmaden	3372
3	poul_from	3310
4	funbreak	2700
5	stone47	2230
6	Jin2k	1960
7	Angband	1743
8	Bjerner	1249
9	refi	1185
10	Interkril..	1146

Dato : 14-11-01 12:40

Jeg står og skal lave et login system....

Jeg har nogle forskellige muligheder at lave det på, men vil lige
høre hvad i mener ville være mest optimalt.

Det skal bruges til et større system, på tværs af flere vinduer og
sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
og kundeID

1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk (setcookie();)

2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
oplysninger i database - på en eller anden måde.

3) Medføre oplysninger i alle links, f.eks. <a
href="ting.php?brugernavn=$brugernavn&....">

Måske kunne der laves et eller andet med sessions, men det skal
vi nok glemme i første omgang.

--
Michael Bested
Dansk Master Web Support
support@danskmasterweb.dk
Tlf: 97 85 56 58

Niels (14-11-2001)

Kommentar
Fra : Niels

Dato : 14-11-01 12:45

"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
Du bør aldrig gemme password i en cookie.... Nøjes med BrugerID og evt.
brugernavn.

--
Niels Henriksen
Systemudvikler
- www.ryttersnak.dk

Thomas Lindgaard (14-11-2001)

Kommentar
Fra : Thomas Lindgaard

Dato : 14-11-01 13:27

Davs

> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)

Jeg sitter lige og prøver at få lov til at logge ind i mit eget system - det
er ikke helt ligetil :)

Det ser således ud:

Ved login smides en cookie, som indeholder: <bruger_id> : crypt(password) :
<timestamp> : <brugers IP>

Når brugeren foretager sig noget sker det så følgende:

Cookie checkes ved at sammenholde timestamp og IP i den med tilsvarende
værdier i databasen - hvis de ikke stemmer overens, er der ugler i mosen.

Bruger checkes naturligvis ud fra ID og det crypt'erede password. Password i
cookien kan ikke umiddelbart forfalskes, da man så både skal kende password,
og det salt crypt er blevet kørt med...

Derudover er der noget timestamp og IP-check...

Håber det gav folket nogle ideer - og hvis der er huller (eller redundans),
så vil jeg gerne vide det :)

/Thomas

Rasmus Windfeldt (15-11-2001)

Kommentar
Fra : Rasmus Windfeldt

Dato : 15-11-01 00:50

Hej

Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
har lavet.
Det fungerer i store træk på følgende måde.
1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
4) tekststrengen sendes til brugeren i en cookie
5) Hver gang brugeren går ind på en ny underside opfriskes cookien
6) Hvis man kliker på "log ud" slettes cookien på maskinen.

Hvilke huller er der så?
Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en ny
bruger kunne komme ind på siden så længe cookien ikke er udløbet. (kan nok
fikses med noget javascript)

Denne fremgangs måde kan også bruges med sessionid. Har set det gjort, men
har ikke selv prøvet.

Mvh Rasmus

"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Jeg står og skal lave et login system....
>
> Jeg har nogle forskellige muligheder at lave det på, men vil lige
> høre hvad i mener ville være mest optimalt.
>
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
>
> 2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
> oplysninger i database - på en eller anden måde.
>
> 3) Medføre oplysninger i alle links, f.eks. <a
> href="ting.php?brugernavn=$brugernavn&....">
>
> Måske kunne der laves et eller andet med sessions, men det skal
> vi nok glemme i første omgang.
>
> --
> Michael Bested
> Dansk Master Web Support
> support@danskmasterweb.dk
> Tlf: 97 85 56 58
>
>

Niels Andersen (15-11-2001)

Kommentar
Fra : Niels Andersen

Dato : 15-11-01 22:01

"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...

Jeg bytter lige lidt rundt på rækkefølgen af citaterne. :)

> Hvilke huller er der så?

Tjah, jeg kan da komme i tanker om lidt...

> 1) Brugeren identificere sig med passwd og usrname.

Her er der masser af plads til huller. :)
Men lad os bare sige at kodeordet er et "godt" kodeord, og det bliver
sendt på en måde, så det ikke umiddelbart bliver cachet.

> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en

Tilfældig, og ikke noget med at blande brugernavn og kodeord, ik'?

> 4) tekststrengen sendes til brugeren i en cookie

> Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en
ny
> bruger kunne komme ind på siden så længe cookien ikke er udløbet.

Tjah, behøver jeg at sige, at dette er et hul?
Hvorfor dog ikke bare bruge en sessions-cookie?

> (kan nok fikses med noget javascript)

Næh. (tillader jeg mig at udtale, uden at gennemtænke det)

> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien

Dette giver egentlig kun mening, hvis du har en rigtig god grund til at
mene, at serverens og klientens ur er nogenlunde synkroniseret.

> Denne fremgangs måde kan også bruges med sessionid. Har set det gjort,
men
> har ikke selv prøvet.

"...med en session". Det er langt nemmere.

1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Det noteres i sessionen, at brugeren er logget ind.
4)
5)
6) Hvis man kliker på "log ud" slettes notatet i session.

--
Mvh.

Niels Andersen

Michael Bested (16-11-2001)

Kommentar
Fra : Michael Bested

Dato : 16-11-01 15:01

"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...

> Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
> har lavet.
> Det fungerer i store træk på følgende måde.
> 1) Brugeren identificere sig med passwd og usrname.
> 2) pass og usr tjekkes i DB'en
> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
> 4) tekststrengen sendes til brugeren i en cookie
> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien
> 6) Hvis man kliker på "log ud" slettes cookien på maskinen.

Det ser ret fornuftigt ud, og den måde har jeg så tænkt mig at bruge!

Men... Hvad hvis brugeren ikke har cookies slået til i sin browser ?

--
Michael Bested
michael@bested.nu
www.bested.nu

Søg

Reklame

Statistik

Spørgsmål :	177507
Tips :	31968
Nyheder :	719565
Indlæg :	6408569
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste