Какими путями можно пройти в целях доработке системы авторизации?

Question

[Alexander]

Алгоритм моего скрипта следующий:
При регистрации аккаунта, создается два хранилища (записи в таблице), первая запись в таблице accounts, сюда пишутся сами данные пользователя, email пароль в sha512+соль и случайно сгенерированная соль через хеш sha512 из rand().
Во второй таблице sessions создается запись в которую пишутся ip (последний использованный) и token, токен генерируется абсолютно случайно и меняется при авторизации. Копия токена пишется в сессию.

ВАЖНЫЙ МОМЕНТ ДЛЯ ДОРАБОТКИ:

Авторизация проверяется так: производится выборка из sessions по ip и сверяется токен из куки и таблицы, если равно, то берется id пользователя и идет выборка уже из accoins where id=id

Проблема в следующем, я нахожу ее критичной: Если пройдет две авторизации то впоследствии думаю сами понимаете, авторизует одного. Как можно доработать/переделать метод привязки сессии к машине пользователя, ведь проблема вскрывается собственно в wi-fi сетях и проксиках...

Привязку к user-agent, flash считаю нерациональной, если я не прав поправьте меня.

Comments

[Alexander]

То что желательно IP хранить в хеше тоже знаю. Постоянно для дебага оставил в открытой форме

Answer 1

[Александр Аксентьев]

не изобретать велосипед, как вам такой путь?

пароль в sha512+соль и случайно сгенерированная соль через хеш sha512 из rand().

Я запутался пока читал это, используйте стандартные функции php, без всяких "сгенерировал, захешировал куском другого хеша и т.д."
password_hash
password_verify

Авторизация проверяется так: производится выборка из sessions по ip и сверяется токен из куки и таблицы, если равно, то берется id пользователя и идет выборка уже из accoins where id=id

т.е. если мне попался динамический IP другого пользователя я попаду под его аккаунт? А логин и пароль вообще не нужны или как?

Для начала определитесь нужен ли вам вообще токен? Токен генерируют для того чтобы авторизация жила любое количество времени. Для обычной авторизации это вообще не нужно.

Если хотите вечную авторизацию:
Токен генерируйте по IP+useragent.
Других вариантов тут нет и не надо.

В чем проблема с двумя авторизациями? Будет два токена для одного пользователя, и авторизация останется активной в двух местах.

Comments

[Alexander]

-т.е. если мне попался динамический IP другого пользователя я попаду под его аккаунт? А логин и пароль вообще не нужны или как?

если вы не ввели логин и пароль то и токена в куки не будет, авторизация не пройдет

-Токен генерируют для того чтобы авторизация жила любое количество времени. Для обычной авторизации это вообще не нужно.

Нужен, я хочу сохранить авторизацию на длительный срок

- В чем проблема с двумя авторизациями? Будет два токена для одного пользователя, и авторизация останется активной в двух местах.

Такого не произойдет, так как для пользователя лишь одна запись в БД, следовательно и токен один

[xfg]

Такого не произойдет, так как для пользователя лишь одна запись в БД, следовательно и токен один

Сделайте связь один ко многим. Таблица токенов с полями user_id | token_id | created_at

Answer 2

[Григорий Есин]

Пожалуйста, не используйте rand для генерации соли, guid, id сессий,... - не секурно.

Comments

[Alexander]

В качестве альтернативы может random_bytes()?

[Григорий Есин]

random_bytes для этого и существует.
В php5 этой функции нет, но есть пакет paragoni/random_compat - полифил функций random_bytes и random_int (искать на packagist.org).
Для большей информации можно гуглить по ключевому слову csprng (crypto strong pseudo random number generator).
Так же поищите алгоритм сравнения строк за константное время и как работают timing-атаки.