Autentikáció php-vel, milyen elv alapján?

Bár most elgondolkodtam egy dolgon:

Bejelentkezéskor:

A sessionban generálsz valami hasht az idő függvénynében. MAz IP címet is fellhasználod, meg egy random kódot a generáláshoz, amit az SQL adatbázisba írsz.

Ekkor viszont mindig le kell hívni az adatokat SQL-ből, hogy minden oldal ellenőrizze, hogy helyes-e hash is.

Nem nagyon értek hozzá, csak próbálok ötletet adni.

na leírom értelmesen:

Bejelentkezéskor SQL -be a userhez lemented, hogy mikor lépett be utoljára, milyen IP címről és egy random pl. 10 jegyű kódot.

Hitelesítéskor a sessionba mented pl. a user nevét, majd generálsz egy hast, a user nevéből, jelszavából, IP címéből, a belépési időből és a random kódból.

Az oldalaid pedig mindig létrehozzák az SQL adatai alapján a sessionbna lévő hasht és ellenőrzik, hogy a sessionban érvényesek-e az adatok.

Bár lehet ez nem túl jó megoldás, nekem tetszik.

Sőt így jobb:

Bejelentkezéskor SQL -be a userhez lementessz, egy hash-t amit ezekből az adatokból hozol létre:

Mi a neve, Mi a jelszava, Mikor lépett be utoljára, Milyen IP címről és egy random pl. 10 jegyű kódból. Tehát vannak az SQL-ben a user adatai, a hash.

A sessionba csak a hasht mented el, esetleg user neve, ip címe.

Az oldalaid pedig ellenőrzik, hogy a hash azonos-e a userhez tartozó SQL-es hash-el, meg azt, hogy erről az IP-ről vagy-e bejelentkezve.

Azt is meg lehetne csinálni, hogy a Sessionban lév hash minden oldal töltéskor más legyen, de az már baromság vagy nem tudom.

A kérdés csak az most, hogy a session lopható-e snifferrel.

Lehet baromságot írtam, de ezeken jó elgondolkodni.

Az ezzel a gond, hogy így is minden oldal lekérdezést futtat. De ha a sessionben átküldöd ezeket az adatokat és a hash kódot is, szerintem már az is elég erős.

Példa:

Veszed a felhasználónevet, a titkosított jelszót, az IP-t és a belépési időt. Ezeket stringként egymás után fűzöd. Ezt titkosítod egy erős jelszóval (ezt nem tudhatja a felhasználó!), majd az így kapott stringet hasheled mondjuk SHA1-el. A sessionben küldöd a felhasználónevet, a titkosított jelszót, az IP-t, a belépési időt és a hash kódot. Így a szerver SQL nélkül tud majd ellenőrizni, viszont ha a szerveren beállított jelszót nem ismerik, a hash kódot kb. lehetetlen előállítani.

A jogosultságokhoz:

Jobban jársz, ha UNIX-szerű jogosultságrendszert használsz. Ez a következőképpen néz ki: az egyes jogokat a kettő hatványainak felelteted meg (pl.: 1-olvasás, 2-írás, 4-futtatás...). A felhasználó jogosultsága a jogok összege (olvasás+futtatás: 1+4=5). Ha meg akarod tudni, hogy a felhasználó rendelkezik-e az adott joggal, csak egy bitenkénti és műveletet kell futtatnod az adott jog kódjával. Ez 0-t ad, ha a felhasználó nem rendelkezik a joggal, egyébként egy pozitív számot (pl. az 5 jogosultságú /olvasás+futtatás/ felhasználó írhat-e (2)?

5&2=0 -> nem írhat.

Futtathat-e?

5&4=4 -> futtathat).

Jogosultság hozzáadása: bitenkénti vagy művelet

Jogosultság elvétele: bitenkénti és művelet az adott jogosultság komplementerével.

Huhh, Ti a nasa.com-ot szerkesztitek? :D

Bocs, de nem kötekedésből: mi a gond a sütikkel?? Miért nem jó a jól bevált megoldás.. cookiekban tárolod a user+pass adatokat, és csókolom.