Всё про авторизацию пользователя!?

Всё про контроль доступа пользователей: фильтры, RBAC, проверки
Ответить
skit
Сообщения: 126
Зарегистрирован: 2012.10.08, 12:50
Откуда: Сибирь
Контактная информация:

Всё про авторизацию пользователя!?

Сообщение skit » 2017.03.11, 11:06

Приветствую!

Не дает этот вопрос покоя, не понимаю до конца этот механизм. Работает и ладно. Помогите разобраться, в режиме диалога. Интересует физика процесса, как можно подробнее.

Стандартная методика: логин, пароль, сессии. Так же токены: один токен, один токен и refresh токен и т.п.
Работаю над взломанным сайтом. Увидел, что хакер слал на почту в контору письма, со ссылками на некие сайты и js скриптами, я так понимаю, чтобы стянуть куки браузера. Потом увидел скрипт который залез в php.ini посмотрел где хранятся сессии, точно не помню, что скрипт делал дальше, но если память не изменяет сессии были скопированы. Так же скрипт менял папку tmp CMS`ки и шарил по ней.

Пример, как я понимаю авторизацию по логину и паролю:
Вводится логин и пароль. Если сверка удачна, генерируется сессия, которая пишется в массив сессий и в браузер (или БД).
Каждый раз происходит сверка сессии на сервере из массива _SESSION и сессии в браузере или БД. Так же прописывается таймштамп, для проверки времени жизни, на сервере. Если время истекло, сессия удаляется, пользователь разлогинивается. Так же, если куки в браузере удалить, произойдет разлогинивание.

Прошу помочь расставить все по местам, в вопросе авторизации 21 века.
Сейчас перевожу сайты с yii1 на yii2, хотелось бы улучшить и осознать механизмы авторизации.

Аватара пользователя
samdark
Администратор
Сообщения: 8289
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Всё про авторизацию пользователя!?

Сообщение samdark » 2017.03.11, 18:30

Примерно так всё и работает.


Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость