Какой самый лёгкий и безопасный способ держать пользователя авторизованным?

Question

Константин @FireFall

PHP

Какой самый лёгкий и безопасный способ держать пользователя авторизованным?

Поискав некоторые решения в интернете, понял что вполне можно через сессии реализовать такую функцию, но вот незадача - по умолчанию сессия 24 минуты, менять php.ini на другое значение - не вариант т.к. есть вероятность что в процессе разработки придётся также использовать сессии, но с другой длительностью. ini_set почти по той же причине отлетает из вариантов.

Помню где-то, что при регистрации в бд можно генерить случайный токен, и затем при успешном логине кидать токен в куки. Опять не подходит потому что куки могут украсть. Наверное нужен куки, которого будет недостаточно чтобы злоумышленник мог быстро зайти в аккаунт, но я уже не в силах сообразить, как такое сделать.

Хранить IP последнего входа в аккаунт? Идея неплохая, но если каким-то магическим образом БД взломают, то все айпи попадут нехорошим людям.

Вопрос остаётся - как реализовать нормальный и безопасный способ для такой функции, чтобы больше не приходилось использовать другие варианты после каждой очередной жалобы на взлом?

Вопрос задан 17 сент. 2023
177 просмотров

7 комментариев

Подписаться 1 Простой 7 комментариев

Ипатьев @ipatiev Куратор тега PHP

потому что куки могут украсть.

Я вам открою стрррашную тайну: сессии для своей работы используют куки. Так что вам надо определиться - либо признать сессии тоже ужасно небезопасными, либо как-то смириться уже

Написано 17 сент. 2023
Дмитрий @iMedved2009

любой вариант авторизации предполагает выдачу пользователю чего либо такого что он потом сможет предъявлять на проходной что бы пропустили. И это чего нибудь такое - всегда можно стырить, и никакая надпись "никому не говорить этот код, даже сотрудникам банка" не спасет. Собственно ровно по этому львиная доля всех взломов - это социальная инженерия.

Написано 17 сент. 2023
Antonio Solo @solotony

Дмитрий, не любой

например можно использовать клиентские SSL сертификаты а их хранить на защищенном хранилище

Написано 17 сент. 2023
Antonio Solo @solotony

У вас реально есть что ворровать на сайте? C вероянтостью 99% на вашем сайте будет 100500 дыр которые можно будет тем или иным способом эксплуатировать.

Написано 17 сент. 2023
Дмитрий @iMedved2009

Antonio Solo,

собственно истории когда перли какие нибудь клиентские сертификаты WebMoney - есть

Написано 17 сент. 2023
Antonio Solo @solotony

Дмитрий, токенов для хранения ключей никогда не видел ?

Написано 17 сент. 2023
Дмитрий @iMedved2009

Antonio Solo, видел. И? Еще раз - любая аутентификация предполагает что к вам приползает нечто и говорит что оно Вася Пупкин и в качестве доказательства предлагает что то для проверки. Паспорт, логин-пароль, сертификат, аппаратный ключ с паролем, отпечаток пальца, собственную морду, или анализ крови - в зависимости от договоренности. И вот это все можно спереть. Что то сложно, что то просто.

Написано 17 сент. 2023

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему может возникать mysql ошибка 2006, если timeout 28800?
- 1 подписчик
- 6 часов назад
- 21 просмотр
1

ответ
PHP

+1 ещё

Простой
Как вывести сумму значений из MySQL в общую таблицу?
- 1 подписчик
- 16 часов назад
- 69 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему unserialize возвращает пустое значение?
- 1 подписчик
- 18 часов назад
- 64 просмотра
2

ответа
PHP

+1 ещё

Средний
Как настроить карусель в WordPress при добавлении нового типа поста с классами Bootstrap (active)?
- 1 подписчик
- 28 апр.
- 23 просмотра
2

ответа
PHP

Простой
Переход с MD5 на SHA256 что нужно сделать чтобы работало)?
- 1 подписчик
- 28 апр.
- 246 просмотров
3

ответа
PHP

Простой
Как вывести больше 100 номенклатур посредством curl в php?
- 1 подписчик
- 28 апр.
- 79 просмотров
2

ответа
PHP

Простой
Как запускать одну функцию для разных задач одновременно?
- 1 подписчик
- 28 апр.
- 92 просмотра
1

ответ
PHP

+1 ещё

Средний
Как объединить 2 массива из LDAP через PHP?
- 1 подписчик
- 27 апр.
- 89 просмотров
2

ответа
PHP

+2 ещё

Средний
Как добавить php5.6 в ubuntu 16.04.07?
- 1 подписчик
- 27 апр.
- 148 просмотров
5

ответов
PHP

+3 ещё

Простой
Как исправить file_get_contents(): SSL operation failed на Open Server Panel?
- 2 подписчика
- 26 апр.
- 148 просмотров
1

ответ
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP/Symfony программист

Венста • Киров

от 220 000 ₽

Интеграция Битрикс в наше FastAPI приложение

01 мая 2024, в 02:11

5000 руб./за проект

Правки в макет Figma

01 мая 2024, в 00:29

2000 руб./за проект

Верстка сайта

01 мая 2024, в 00:20

15000 руб./за проект

потому что куки могут украсть.

Я вам открою стрррашную тайну: сессии для своей работы используют куки. Так что вам надо определиться - либо признать сессии тоже ужасно небезопасными, либо как-то смириться уже
любой вариант авторизации предполагает выдачу пользователю чего либо такого что он потом сможет предъявлять на проходной что бы пропустили. И это чего нибудь такое - всегда можно стырить, и никакая надпись "никому не говорить этот код, даже сотрудникам банка" не спасет. Собственно ровно по этому львиная доля всех взломов - это социальная инженерия.
Дмитрий, не любой

например можно использовать клиентские SSL сертификаты а их хранить на защищенном хранилище
У вас реально есть что ворровать на сайте? C вероянтостью 99% на вашем сайте будет 100500 дыр которые можно будет тем или иным способом эксплуатировать.
Antonio Solo,

собственно истории когда перли какие нибудь клиентские сертификаты WebMoney - есть
Дмитрий, токенов для хранения ключей никогда не видел ?
Antonio Solo, видел. И? Еще раз - любая аутентификация предполагает что к вам приползает нечто и говорит что оно Вася Пупкин и в качестве доказательства предлагает что то для проверки. Паспорт, логин-пароль, сертификат, аппаратный ключ с паролем, отпечаток пальца, собственную морду, или анализ крови - в зависимости от договоренности. И вот это все можно спереть. Что то сложно, что то просто.

Answer 1 · 2023-09-20 01:36:18

Недолгоживущий JWT Access Token (5-15мин), который после того как просрочится сделает доступ к сервису невозможным.

Но чтобы каждые 5 минут не простить залогиниться пользователя изобрели RefreshToken, который хранится в базе дольше. Примерно 1 месяц. Он нужен для того, чтобы выпустить новый JWT AccessToken. При взломе RefreshToken просто удаляется и новый AccessToken выпустить не получиться. Почитайте в целом про OAuth 2.0 + JWT

Answer 2 · 2023-09-17 18:06:28

Опять не подходит потому что куки могут украсть.

Откуда вы такие специалисты по безопасности беретесь?..

Вопрос остаётся - как реализовать нормальный и безопасный способ для такой функции, чтобы больше не приходилось использовать другие варианты после каждой очередной жалобы на взлом?

Взлом через уведенную куку входит в топ 5 малореальных сценариев взлома, если у вас есть хоть какая-то защита от XSS.

Хранить IP последнего входа в аккаунт? Идея неплохая, но если каким-то магическим образом БД взломают, то все айпи попадут нехорошим людям.

Оу, вас это больше всего расстраивает? Учитывая что 80% траффика сейчас идет через мобильные сети, айпи будет разниться при каждой сессии авторизации. И в данном случае вероятность такого взлома вы почему-то оцениваете практически как "магию", в то время как доступ к кукам пользователя у вас на уровне "ну, это точно случится, и скорее всего раньше, чем позже, любой может там гулять как у себя дома"...

Answer 3 · 2023-09-18 15:39:26

Александр @AleksandrB

Совсем недавно вывел "Hello world"

Временный токен средствами JWT

Ответ написан 18 сент. 2023

Комментировать

Какой самый лёгкий и безопасный способ держать пользователя авторизованным?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт