Что должно происходить, когда пользователь заходит на сайт?

Question

[vasIvas]

Если Вы считаете что у темы выставлен неподходящий тег, то можете убрать его.

Пытаюсь сделать первый сайт и самая большая проблема связана с "непониманием процесса".
Вот допустим на мой сайт на корневой домен зашел зарегистрированный, но не авторизованный пользователь. Какие действия должны происходить на сервере? У меня, вроде бы, стандартная серверная архитектура. У каждого маршрута свой контроллер, который имеет ссылку на модель (которая работает с базой данных) и так же имеет ссылку на представление, то есть он рендерит...

И вот заходят ко мне на сайт в корневой маршрут... Что мне нужно делать?

UPD:
Ну вот зашел я на сайт, сайт должен узнать авторизован ли я сейчас. Как он это узнает?
И получается, что когда я захожу на сайт, срабатывает "какой-то" контроллер, который
создает модель пользователя. Затем когда я перешел в какой-то раздел срабатывает
уже другой контроллер в котором опять всё начинается сначала. То есть опять я должен
как-то узнать авторизован пользователь или нет, затем снова создать модель пользователя..
И так нужно каждый раз или вообще так не нужно?

Comments

[riente]

Хм, вот лично я ничего не понял) А что вы хотите, чтобы происходило?

[vasIvas]

riente: обновил...

[dk-web]

riente: сессии и куки, я так понимаю... если заходишь на сайт не авторизованным, то появляется поле Войти, а если авторизованным, то "Добро пожаловать, Иван Иваныч"... я так вопрос понял

[Алексей Елецкий]

Может окажется полезным: tiendil.org/webdev

Answer 1

[riente]

Ну, если объяснять на пальцах, то примерно алгоритм следующий:
человек заходит, система проверяет его сессию: если в ней сохранены данные пользователя и тот факт, что он авторизован, то окей, показываем ему какую-то инфу; если же нет - то к примеру перекидываем на страницу логина. После ввода данных, если они верные, система сохраняет в сессию скажем id пользователя. Впоследствии, при попадании на любую страницу, где требуется авторизация, система видит, что пользователь авторизован, и по его id из базы получает модель и далее использует по назначению.

Comments

[vasIvas]

и на каждый путь эти действия повторяются? То есть я зашел на /domain/ и контроллер получил модель юзера. Затем я перешел на /domain/some/ и контроллер опять проверяет и запрашивает модель юзера?

[riente]

vasIvas: я делаю так: создаю главный контроллер, скажем, Controller_Authenticated, в котором первым делом проверяется, авторизован ли человек, и только если да - выполняются какие-либо action'ы. А потом все контроллеры, от которых требуется такое поведение, просто наследуют этот. Еще можно это реализовать какими-нибудь event listener'ами. В некоторых фреймворках это реализовано из коробки, нужно только поковыряться в настройках.

[vasIvas]

riente: вот я и начал с laravel... с mvc и прочими архитектурными фраймворками я знаком, но никогда не делал сайты и не могу никак начать, так как не знаю с какой стороны подступиться к авторизации. Она там тоже реализована и теперь я знаю что хоть нужно такой контроллер искать. Спасибо. Завтра буду просматривать все и если что то вернусь и ещё спрошу.

Answer 2

[d'Ivan]

Аутентификация - это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае - с помощью имени входа и пароля.
Авторизация - это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией.

Есть ресурсы, которые доступны только зарегистрированным пользователям. Для использования этих ресурсов пользователь должен предварительно идентифицироваться в системе при помощи формы аутентификации (имя/пароль). В зависимости от нужд программа может проверять, авторизован ли пользователь выполнять те или иные действия (проверка полномочий).

Глава 7. Регистрация
Аутентификация в Rails-приложениях с помощью Devis...
Руководство Ruby On Rails по безопасности

Добавлено
При аутентификации пользователь отправляет POST запрос (использовать HTTPS для безопасности данных!) через форму с комбинацией имя/пароль. Программа на сервере создаёт хеш пароля и сравнивает его с хранящимся в БД для данного пользователя. Если совпадает, то пользователю высылаются куки с хешем сессии, согласно которому сервер будет определять аутентификацирован ли пользователь.

Управление доступом на основе ролей

Аутентификация и авторизация

Comments

[vasIvas]

Спасибо, но я не знаю пока ror. Я на php пытаюсь что-то сделать, а тегов наставил больше чтобы побольше получить ответов. Процедура же везде одинаковая должна быть...

[vasIvas]

И я хочу ответы получать без привязки к языку, только теорию.

Answer 3

[amf1k]

Проверять авторизованный ли пользователь или нет, и показывать инфу взависимости от этого?

Comments

[vasIvas]

А более подробно? Просто я бы мог рассказать свое виденье, но оно все равно будет не правильным и зачем Вам это неправильное читать? но если хотите хотите почитать неправильное, только скажите, мне не жалко время.

[amf1k]

с чего вы взяли что оно не правильное? я конечно тоже далеко не специалист в этом вопросе, но просто логично же вначале узнать что за пользователь и показать ему то что нужно (доступно, для не авторизованных пользователь, например).