Зачем нужен authkey если есть passwordhash?

Question

vitaly_74 @vitaly_74

Зачем нужен authkey если есть passwordhash?

сейчас пишу веб прилржение на yii2 и не совсем понимаю, когда что использовать, помогите?

Вопрос задан более трёх лет назад
244 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Помогут разобраться в теме Все курсы

Onskills

PHP: базовый курс

1 месяц

Далее
teamcoding

TC200PY Разработка PHP веб-приложений на Yii2. Шаблон приложения advanced

3 месяца

Далее
FructCode

Yii2 Фреймворк

2 месяца

Далее

Решения вопроса 1

9 комментариев

vyachin @vyachin

вы не правы, authkey используется для автологина, https://github.com/yiisoft/yii2/blob/master/framew...

Написано более трёх лет назад
Dmitry Bay @kawabanga Куратор тега Yii

vyachin, Не правы или умолчал о том, что passordHash не отдается клиенту из соображений безопасности? Или о том, что токен авторизации можно хранить в куках?
Если я о чем то умолчал , это не значит, что я не прав.

В IdentityInterface есть метод, который вызывается в следующей функции. https://github.com/yiisoft/yii2/blob/master/framew...

Bearer я указал в том ключе (опять же если почитать доки по нему), что можно грохнуть все соединения, просто изменив его (в данном случае authKey). А passwordHash мы как минимум не можем изменить, так как мы потеряем привязку к паролю у пользователя.

Написано более трёх лет назад
vyachin @vyachin

Dmitry Bay, вы не правы только насчет authKey.

Если вы поменяете authKey у пользователя, никакие соединения вы не грохните, даже текущая сессия не разорвется. Я же написал, что authKey используется для автологина по cookie. https://github.com/yiisoft/yii2/blob/master/docs/g...
```
[[yii\web\IdentityInterface::getAuthKey()|getAuthKey()]]: Этот метод возвращает ключ, используемый для основанной на cookie аутентификации. Ключ сохраняется в аутентификационной cookie и позже сравнивается с версией, находящейся на сервере, чтобы удостоверится, что аутентификационная cookie верная.
```

Bearer токен использую для авторизации при запросах к API. https://github.com/yiisoft/yii2/blob/master/docs/g... Если в проекте API нет, тогда и смысла в реализации метода https://github.com/yiisoft/yii2/blob/master/framew... нет.

Написано более трёх лет назад
vitaly_74 @vitaly_74 Автор вопроса

Dmitry Bay, т.е. пользователь сначала проходит авторизацию по паролю, потом ему выдается ключ authkey (в случие успеха), и уже по нему сверять данные .пока сессия не закончилась? верно?

Написано более трёх лет назад
Dmitry Bay @kawabanga Куратор тега Yii

vyachin, да, видимо я не прав по поводу authKey, пойду прочитаю.

Написано более трёх лет назад
vyachin @vyachin

vitaly_74, почитайте официальную документацию https://github.com/yiisoft/yii2/blob/master/docs/g... тут все очень доступно написано

Написано более трёх лет назад
vitaly_74 @vitaly_74 Автор вопроса

vyachin, в том и проблема что я читал, и не доходит(
они взяли и сгрузили все в одну кучу.

Написано более трёх лет назад
Dmitry Bay @kawabanga Куратор тега Yii

vitaly_74,
читаю доки и делюсь с вами.

1) пароль и мыло дают связку для авторизации.
2) authKey отдается в куки пользователя, и если
а ) yii\web\User::enableAutoLogin|включен , то если сессия исчезнет, то мы проверим авторизацию с помощь authKey
б) в противном случае будет анлогин
[yii\web\User::enableAutoLogin|включен]] вход, основанный на cookie (так называемый "запомни меня" вход),

vyachin, Спасибо, я как то считал процесс несколько иначе.

Написано более трёх лет назад
vitaly_74 @vitaly_74 Автор вопроса

Dmitry Bay, благодарю

Написано более трёх лет назад