Всё про авторизацию пользователя!?
Добавлено: 2017.03.11, 11:06
Приветствую!
Не дает этот вопрос покоя, не понимаю до конца этот механизм. Работает и ладно. Помогите разобраться, в режиме диалога. Интересует физика процесса, как можно подробнее.
Стандартная методика: логин, пароль, сессии. Так же токены: один токен, один токен и refresh токен и т.п.
Работаю над взломанным сайтом. Увидел, что хакер слал на почту в контору письма, со ссылками на некие сайты и js скриптами, я так понимаю, чтобы стянуть куки браузера. Потом увидел скрипт который залез в php.ini посмотрел где хранятся сессии, точно не помню, что скрипт делал дальше, но если память не изменяет сессии были скопированы. Так же скрипт менял папку tmp CMS`ки и шарил по ней.
Пример, как я понимаю авторизацию по логину и паролю:
Вводится логин и пароль. Если сверка удачна, генерируется сессия, которая пишется в массив сессий и в браузер (или БД).
Каждый раз происходит сверка сессии на сервере из массива _SESSION и сессии в браузере или БД. Так же прописывается таймштамп, для проверки времени жизни, на сервере. Если время истекло, сессия удаляется, пользователь разлогинивается. Так же, если куки в браузере удалить, произойдет разлогинивание.
Прошу помочь расставить все по местам, в вопросе авторизации 21 века.
Сейчас перевожу сайты с yii1 на yii2, хотелось бы улучшить и осознать механизмы авторизации.
Не дает этот вопрос покоя, не понимаю до конца этот механизм. Работает и ладно. Помогите разобраться, в режиме диалога. Интересует физика процесса, как можно подробнее.
Стандартная методика: логин, пароль, сессии. Так же токены: один токен, один токен и refresh токен и т.п.
Работаю над взломанным сайтом. Увидел, что хакер слал на почту в контору письма, со ссылками на некие сайты и js скриптами, я так понимаю, чтобы стянуть куки браузера. Потом увидел скрипт который залез в php.ini посмотрел где хранятся сессии, точно не помню, что скрипт делал дальше, но если память не изменяет сессии были скопированы. Так же скрипт менял папку tmp CMS`ки и шарил по ней.
Пример, как я понимаю авторизацию по логину и паролю:
Вводится логин и пароль. Если сверка удачна, генерируется сессия, которая пишется в массив сессий и в браузер (или БД).
Каждый раз происходит сверка сессии на сервере из массива _SESSION и сессии в браузере или БД. Так же прописывается таймштамп, для проверки времени жизни, на сервере. Если время истекло, сессия удаляется, пользователь разлогинивается. Так же, если куки в браузере удалить, произойдет разлогинивание.
Прошу помочь расставить все по местам, в вопросе авторизации 21 века.
Сейчас перевожу сайты с yii1 на yii2, хотелось бы улучшить и осознать механизмы авторизации.