Как реализовать авторизацию с разных устройств?

Question

[moved_on]

Всем доброго времени суток.
Пишу api на php, нужна возможность авторизации с разных устройств одновременно. Соответственно, как это правильно делать?

Как обычно делается - создание хэша, его в базу, и раздаем устройствам - не очень безопасно, на мой взгляд.

Какие подходы есть, опишите, пожалуйста.
Спасибо за внимание.

Answer 1

[Дмитрий Арушанов]

Есть некий клиентАйди clientId = который известен устройству которое подключается.
Используя этот clientId - устройство делает запрос на сервер получает асесТокен для этого устройства (accessToken ). Cледующий запрос отправляется уже с clientId +accessToken + логинпароль пользователя. Если все хорошо - то мы получаем accessToken пользователя.

На этом шаге мы уверны что устройство надежно и пользователь залогинен.(у нас есть accessToken для пользователя).

Можно отправить еще запрос с этом accessToken - проверить его валидность.
При чем каждый из этих запросов все еще можно подтверждать clientId (который известен изначально).

Так вот мы проверили accessToken - он валидный. И получили с сервера так называемый sessionToken.

и дальше мы можем общаться с сервером посредством этого sessionToken - прикрепляя его в заголовки.

Может что то напутал - время уже позднее... Но суть думаю понять можно.

Comments

[moved_on]

"Есть некий клиентАйди clientId = который известен устройству которое подключается" - откуда он известен?

[Дмитрий Арушанов]

Ну не знаю.. Высылается по почте, по эмайлу, по смс.. лично в руки, на ухо.. выбирайте сами

Answer 2

[xmoonlight]

Я вот не понял: нужно несколько устройств "засунуть" в одну сессию параллельно в единицу времени или же просто дать возможность входа под одной учеткой с разных устройств?

В любом случае при API-реализации Вам нужно управлять созданием сессии вручную.

1. Если РАЗНЫЕ сессии и ОДНА учетка - используется UUID на сервере для создания ID-сессий.
2. Если нужна ЕДИНСТВЕННАЯ сессия для ОДНОЙ учетки для нескольких устройств - тогда храните единственный UUID в БД. (session_id(ID); вызывается до!!! session_start();)

Авторизация: CRAM-MD5
Можно еще и mirroring сделать при необходимости. ;)

Comments

[moved_on]

Распшите, пожалуйста, подробнее, первый вариант

[xmoonlight]

moved_on: после того, как авторизация прошла, создаете на сервере ID-сессии и на его основе выписываете токен для обмена пакетами, который сохраняется в БД на сервере (session-id, token) и возвращаются в ответном пакете на клиент.
Token присоединяется к hash-подписи в каждом пакете (пример: hash=md5(pass.user.token.sess_id.pass.rnd), rnd, и далее любые рабочие параметры API).
Рабочие параметры используются только при ВЕРНОЙ HASH-подписи!
Токен может быть анулирован (кроме штатной функции: "выход") как по тайм-ауту, так и по числу неверных запросов к серверному API.

Answer 3

[Антон Шаманов]

Авторизация != аутентификация . А какая разница с какого устройства вошел пользователь?

Comments

[Денис]

например, чтобы иметь возможность апдейтить авторизационный токен по истечении срока его действия.

[Антон Шаманов]

Денис, у многих сайтов oauth2 токены привязаны к ip и поэтому логично хранить их в кеше устройств