Приветствую!
Не дает этот вопрос покоя, не понимаю до конца этот механизм. Работает и ладно. Помогите разобраться, в режиме диалога. Интересует физика процесса, как можно подробнее.
Стандартная методика: логин, пароль, сессии. Так же токены: один токен, один токен и refresh токен и т.п.
Работаю над взломанным сайтом. Увидел, что хакер слал на почту в контору письма, со ссылками на некие сайты и js скриптами, я так понимаю, чтобы стянуть куки браузера. Потом увидел скрипт который залез в php.ini посмотрел где хранятся сессии, точно не помню, что скрипт делал дальше, но если память не изменяет сессии были скопированы. Так же скрипт менял папку tmp CMS`ки и шарил по ней.
Пример, как я понимаю авторизацию по логину и паролю:
Вводится логин и пароль. Если сверка удачна, генерируется сессия, которая пишется в массив сессий и в браузер (или БД).
Каждый раз происходит сверка сессии на сервере из массива _SESSION и сессии в браузере или БД. Так же прописывается таймштамп, для проверки времени жизни, на сервере. Если время истекло, сессия удаляется, пользователь разлогинивается. Так же, если куки в браузере удалить, произойдет разлогинивание.
Прошу помочь расставить все по местам, в вопросе авторизации 21 века.
Сейчас перевожу сайты с yii1 на yii2, хотелось бы улучшить и осознать механизмы авторизации.
Всё про авторизацию пользователя!?
- samdark
- Администратор
- Сообщения: 9489
- Зарегистрирован: 2009.04.02, 13:46
- Откуда: Воронеж
- Контактная информация:
Re: Всё про авторизацию пользователя!?
Примерно так всё и работает.
Нравится Yii? Давайте сделаем его лучше!.