Лучший способ авторизации через php?

Question

[ixon]

По мере того как я обучался выполнять типовые кейсы на php, рассматривал всякого рода авторизацию. Зачастую статьи и литература по теме подчёркивают что это достаточно базовый способ реализовать авторизацию и примерно одинаково передают суть: в бд хранится таблица Пользователи, содержащая логин, емэйл, какой-нибудь хэш от пароля, обычно это самая существенная вариация в разных источников и какое-нибудь поле под ключ доступа, который сравнивается с находящимся у пользователя и если он совпадает, то это тот самый пользователь, которому соответствует данный пользователь из БД. При каждом входе или выходе ключ доступа перегенерируется в БД и обновляется у пользователя.
Иногда к прочим данным также добавляют IP или UserAgent которые также проверяются и обновляются при взаимодействии со скриптом авторизации. Иногда таблица в БД разносится на несколько.
Чего-то сильно сложнее описанного никогда не видел. Но ведь всегда пишут, что это очень базовый и не безопасный способ? А какой же тогда более сложный, более эффективный, более быстрый и более надёжный, о котором говорят все эти авторы статей? И чем именно не безопасен этот способ кроме коллизий в ключе авторизации (хотя все крупные сервисы вроде как хранят токены авторизации примерно также в 16ричной строке длинной в 16 или 32) и отсутствии защиты от брутфорса?

Answer 1

[FanatPHP]

"Не читайте до обеда советских газет".

86% статей в интернете написаны чудовищными дителантами, которые сами едва десяток операторов освоили.

Иногда к прочим данным также добавляют IP или UserAgent которые также проверяются и обновляются при взаимодействии со скриптом авторизации. Иногда таблица в БД разносится на несколько.

Это пишут тиаретики, которые сами в жизни ни одного скрипта не написали, но обчитались такого же хлама в интернете. Есть такой жанр - переписывать "умные советы" друг у друга, не понимая их смысла и ни разу не попробов их на практике.

всегда пишут, что это очень базовый и не безопасный способ

Без контекста сложно понять, что имеется в виду.

Общее правило - не доверять голословным утверждениям. Если автор понимает, о чем пишет, то сможет и объяснить ту или иную рекомендацию или оценку.

Из перечисленного выше я бы только добавил защиту от подбора пароля.

Comments

[Adamos]

86% статей в интернете написаны чудовищными дилетантами

При этом 86,35% приведенных в них статистических данных высосано из пальца ;)

Answer 2

[Lander]

1.

коллизий в ключе авторизации

Сейчас бы со всякими Аеэсами, Блоуфишами и СХА256 беспокоится о коллизиях.
2. Кто говорит что это не безопасный способ?
3. Возможно в ваших источниках имеется ввиду всякого рода двухфакторная авторизация и прочее?

Answer 3

[fubaro]

Судя по вопросу, вам сначала надо разобраться что такое идентификация, аутентификация и авторизация.
Когда поймете логику, стоящую за этими процессами, - поймете и как этого добиться. Ну или вопросы начнете задавать более конкретные.
+ Соглашусь с фанатом: сейчас интернет засран копирайтерами, которые переписывают вредные советы на свой лад непонимая в вопросе нифигашеньки.

Comments

[ixon]

Хорошо, сейчас ознакомлюсь, хотя кроме слова Авторизация я ничего и не говорил, странная реплика, похожая на Не ответ, я конечно ознакомлюсь в деталях, может в чём-то и ошибаюсь, но всё ещё жду от вас лучший способ авторизации.

[fubaro]

https://elisdn.ru/upload/media/images/posts/rbac/a...