Где можно прочесть статью об алгоритме авторизаций с привязкой по IP?

Question

[Alexander]

Где можно прочесть статью об алгоритме авторизаций с привязкой по IP. IP - динамичный, как выполняется привязка сессий к таким IP?

Comments

[Alexander]

Суть такова. Раз залогинился, и все. Как привязать авторизацию, чтобы она не обрывалась с динамичным IP и статичным.

Answer 1

[KOLANICH]

просто сохраните айпи в поле массива $SESSION и проверяйте на каждой странице, если не совпадает - разлогинивайте (session_destroy).
Если сервер - апач, используйте для этого опцию .htaccess php_value auto_prepend_file .

Answer 2

[zvorygin]

Просто привязывать по IP без cookies, я думаю нехорошо, тем более что IP динамический - а в качестве дополнительной проверки - почему бы и нет - должы совпасть и cookie и IP.

Динамический IP выдается на довольно продолжительный срок. Но при следующем включении компьютера пользователем, ему могут дать уже другой IP, и тогда, например, галочка "запомнить меня на этомс сайте" работать не будет - cookie совпадет, а вот IP - нет.

Comments

[Alexander]

@zvorygin Мне нужно научиться писать скрипт авторизации, чтоб он работал и с динамичными IP. То есть чтобы при последующем сбросе соединения с сетью, авторизация не обрывалась. Можно ли как-то предсказать следующий IP. Хешировать диапазон IP?

[zvorygin]

эээ, а если писать скрипт авторизации привязывающийся к cookie а не к IP? Предсказывать нельзя. Можно пробовать привязываться к диапазону... но зачем все это если есть cookie?

[Alexander]

@zvorygin Куки будут само собой, но как решить проблемы сброса авторизации при динамичном IP? Вот что я никак не пойму, как такое реализуется? Если использовать диапазон, в авторизацию могут попасть совсем непричастные к данной сессии пользователи.

[zvorygin]

Так не привязывайтесь в IP вообще - третий раз говорю. И тогда вас не будет волновать динамический он или статический. Просто у cookie ставите время жизни подольше и все. Я например, залогинился, на сайте с ноутбука и потом во всех WiFi сетях с разнообразными IP я остаюсь залогиненным.

[Alexander]

@zvorygin Но мне нужно бессрочная сессия. Чтобы она не была привязана ко времени. Я разбирал коды многих CMS, Но так и не понял как действует "правильный" метод авторизации.

[Alexander]

@zvorygin При том куки могут перехватить, брежь в безопасности, если в куки будет auth_key зависящий от IP, то как минимум, перехватившему куки не получится достигнуть цели.

[zvorygin]

@websiteserf, мне кажется, при всем уважении к Вам, что вам не хватает знания азов web-программирования. Установите у cookie время жизни в 100 лет, и будет у вас бессрочная сессия. Попробуйте побаловаться с маааленьким самописным JS скриптом и мааленькой самописной страничкой авторизации. Тогда, возможно, все вопросы сами исчезнут.

[zvorygin]

@websiteserf, невозможно чтобы и овцы целы и волки сыты - вы хотите одновременно и пускать cookie с другого IP(например в случае с динамическим) и не пускать с другого IP(например, если cookie украли). Вы уж определитесь - паранойя+безопасность или удобство, но некоторый риск. Если смогли украсть cookie, то смогли и кейлоггер поставить.

[Андрей]

Не используйте сессию. Используйте подписанную куку с длинным expire. Бессрочных сессий не бывает.

[Alexander]

@zvorygin Про куки я все понял. Но можете объяснить следующее: Я изучал этот вопрос с популярной CMS WordPress. Залогинившись, несколько раз сбрасывал соединение с сетью - авторизация осталась (IP динамичен). Зашел через прокси (явно другой IP), авторизация оборвалась. Как этот парадокс понять я не знаю. И главной моей целью является нахождение на него ответа. Ведь как-то это реализовывали, и не единожды. Сплошь и рядом используются подобные алгоритмы.

[zvorygin]

А вы уверены, что при сбрасывании соединения с сетью Вам выдавали новый внешний IP? Думаю, что не выдавали. А возможно(хотя ооочень вряд ли), worpress привязывается к подсети для надежности.

[Alexander]

@kaasius Я неверно выразился. Бессрочная сессия => Бессрочный срок авторизации (или максимально достижимый)

[Alexander]

@zvorygin Это я и хотел узнать. Подсеть. Привязав к ней можно уберечься от кражи куки. Но можно ли уберечься от несанкционированного входа через системы маршрутизаторов. Яркий пример: Две машины подключены к сети интернет по одному модему. В том случае будет ли значение подсети одинаковым для обоих сторон?

[zvorygin]

@websiteserf, очевидно, да - будет. А еще, если у человека "домашний" интернет провайдер с динамическими IP, то половина микрорайона сможет зайти если украдет куки.

Answer 3

[Виталий Желтяков]

Добавлю:
Если делаете для себя, то привязка IP к сессии ещё прокатит.
Если делаете для общественного использования, то такая привязка - это очень необдуманный шаг, так как начнутся проблемы с людьми, которые работают через проксики (а таких сейчас очень много).