Как сгенерировать случайное число для кода подтверждения?
Для подтверждения почты нужно отправлять заранее сгенерированное 6 значное число которое пользователь потом введет в форму на сайте (число не должно начинаться с 100000)
обычно 6-значные коды, это одноразовые пароли, коротко живущие, и вычисляемые из времени.
Их генерят приложения вроде Google Authenticator или Яндекс.Ключ после того, как «договорятся» с вашим сайтом о параметрах.
А для подтверждения почты генерят более длинную случайную строку, которую сохраняют в БД для данного аккаунта. В письме отправляют ссылку с подставленным этим значением – ссылку достаточно кликнуть, не надо ничего вводить в форму.
Сергей Соколов, подтверждение почты не в плане в учетной записи а при восстановлении пароля например, обычная операция, вводим email, я на бэке проверяю что есть учетка с таким email и создаю сессию в которую кладу это число, ну и время старта для того что бы исключить залипание, на 60 секунд например, генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд, не знаю к чему тебе эта инфа но я такую штуку вроде второй раз только делаю так как в основном только фронтом занимаюсь
при восстановлении пароля например... генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд,
Это делается не так, по крайней мере не с восстановлением пароля. Больше подходит для 2х факторной авторизации. Для восстановления пароля используется хэш-последовательности, и они вставляются в генерируемый линк и в бд, для сверки, мало ли когда я зайду пароль сбросить, или когда письмо дойдет.
ThunderCat, ну учитывая что я пока без базы и только пилю бэк (вообще не понятно будет ли там база) то решил использовать то о чем знал и представлял как работает, хотя помню много где используется твой вариант но над ним еще подзапариться надо, спасибо, возьму на заметку этот вариант
да в курсе, но что поделать (некоторые требования), если смогу их обойти то спокойно накину mysql или лучше posgresssql попробую
Есть та же sqlite, которая практически ничего не требует, но вполне покрывает большинство задач необходимых базовому сайту. Да и файрбэйс есть с бесплатным лимитом...
ThunderCat, да я как то даже и не думал по счет облачный решений, я их почему то с nodejs соотношу, нужно попробовать, плюс по счет перебора я решил тогда для безопасности стоит jwt токен генерировать с жизнью минут на 5 максимум, спасибо за толковые ответы
ThunderCat, видимо mongo откисает, заблочились гады, попробуем тогда firebase, про sqlite глянул но какой то он не понятный, даже хз чего с ним делать и как ставить
Сергей Соколов, Exception может бросить random_int судя по phpstorm, по поводу параметра $length, каким боком там будет бесконечный цикл если этот параметр влияет только на for а не while? жду примеров
ThunderCat, в плане? если есть какие то вопросы, задавай или предлагай, я попробовал и сделал так, если не нравиться то к своей "аутофелляция" можно добавить немного разъяснений, в чем этот код плох и тд
Сергей Соколов, в while все что я делаю так проверяю прошлое число и все, никаких бесконечных циклов там в приницпе не может быть, если только каким то чудом random_int не начнем генерировать одно и тоже число
в плане? если есть какие то вопросы, задавай или предлагай,
Во первых - зачем вы вообще разместили здесь вопрос, если менее чем через минуту опубликовали ответ? Просто "смотри чё могу!"? Увы, получилось не очень. Поднять рейтинг? Тоже нет, за выставленный самому себе верный ответ баллы не начисляются. Короче, такая себе попытка поднять себе настроение.
Во вторых - решение реально плохо, 2 фора, вайл, куча ифов... для зачем? Еще и с багами... Sanes написал вам решение в 1 оператор.
ThunderCat, выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример и плюс если кому то как и мне будет мало random_int(100000, 999999), на рейтинг мне в принципе побоку как то я тут только в основном вопросы задаю и редко отвечаю, по поводу ответа Sanes я уже разъяснил, такой вариант хоть и покрывает необходимость но я предпочел реализовать тот формат который мне нужен, по поводу самого кода жду вашего решения (000000 -> 999999) с отсеиванием повторяющихся значений раз уж за кучу ифов и циклов зашла речь)
Александр Антонов, куда вы отсеиваете повторяющиеся значения? И зачем? Решение уже закинул в другую ветку, и перестаньте мучать этот "код", он мертвый и пахнет...
выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример
В будущем, если вы все таки вырастете в программиста, этот код ничего кроме фейспалма и стыда вам не принесет. А как "решение для кого-то" он скорее вреден.
ThunderCat, отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей (то что выше написал плюс sprintf('%06d', random_int(0, 999999)))
отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей
Так и не понял зачем, никакой дополнительной защиты это не дает, скорее наоборот - исключает из перебора большой ряд чисел, понижая стойкость почти на порядок. В любом случае - как ответ такое помечать точно не надо.
ThunderCat, тогда жду решение с учетом уже описанных 2 целей, не важно что в этом мало смысла просто есть такая цель, как увижу его удалю свой ответ (или поменяю на твой) а так пока что этот код может и выглядит громоздким но по крайней мере достигает этих двух целей
а вот это уже полезный ответ, не знал что уникальные числа понижают стойкость, интересно узнать почему
У тебя не "уникальные числа", а "неповторяющиеся цифры". Собственно, при переборе можно сразу исключить все числа, в которых есть 2 повторяющиеся цифры. Очевидно, что выбросив из перебора такие числа, подбор займет заметно меньше времени, сколько точно мне лень считать, но навскидку где-то на 1 порядок меньше.
не правильный ответ, этот вариант сгенерирует число от 100000, в случае с кодом подтверждения там должно быть от 000000 до 999999, соответственно в формате строки, в любом случае это остается числом
Александр Антонов, в вопросе указано - 6-значное число, про то, с какого номера оно должно начинаться ничего не было. Формально ответ полностью удовлетворяет вопросу. Вы можете внести поправку в комментарии, но не можете отрицать правильность решения.
Sanes, диапазона может и достаточно но вряд ли это нормальное поведение, я решил что код подтверждения должен быть именно такой формы и от этого писал код, твой вариант хорош (и банален так как его можно получить по первому ответу в поиске) если не брать приведенную выше причину
Александр Антонов, ок, фокус в 2 действия:
1) Осознаем что твое решение говнокод,
2) дорабатываем нормальное решение до подходящего, с учетом дополнений: sprintf('%06d', random_int(0, 999999));
ThunderCat, хороший вариант если не прикапываться к повторяющимся числам, сохраню его, про sprintf не слышал так что можно посмотреть что с ней еще можно придумать
Александр Антонов, проверку на повторяющиеся числа ты сделать должен будешь уже поиском по базе, так как тебе нужно сохранять высланные номера пользователям, чтобы сравнить их со введенными (плюс рекомендуется сохранять их какое то время, с пометкой использованное, чтобы исключить вероятность совпадения если злоумышленник узнал код уже после того как пользователь его использовал)
rPman, у него "другие" повторяющиеся числа (которые на самом деле цифры, но не суть), смысл чтобы не было 2 одинаковых цифры подряд в числе. Зачем - хз, меня не спрашивай ))
rPman, по какой базе? я в вопросе вообще не писал что использую какую то бд, высланное число я сохраняю в сессии, пока что, а что касается злоумышленников то я все равно потом эту сессию закрою и все, ответ будет 400 на такие запросы
