Как часто менять hash при аутентификации в php?

Question

[Иван василичь]

Добрый день,

Подскажите пожалуйста у меня есть авторизация и аутентификация в одном методе

function login(string $email, string $pass, bool $isHash=false) {
   
    #code...
}

а так же в базе
user_password // в котором хрониться хеш пароля для авторизации
user_hash // в котором хрониться сгенерированный хеш для аутентификации

Вопрос в том, что при можно ли менять хеш аутентификации через какое то время например через 7 дней, в базе или он должен быть всегда статичным.

или его вообще не должно быть и использовать хеш пароля для сохранения в куки

и можно ли использовать _SESSION для хранения этих хешей ( что будет если 1000 человек будет хронить свои хеши в сессии)

заранее спасибо.

Answer 1

[Антон Шаманов]

как бы не хранились данные они все равно физически расположены в файлах, логичнее хранить хэш в бд и не более дня (хотя тут конечно все зависит от его типа и длины).

CREATE TABLE IF NOT EXISTS `users` (
  `id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
  `email` varchar(255) NOT NULL,
  `login` varchar(255) NOT NULL,
  `password` varchar(255) NOT NULL,
  `last_login` int(11) UNSIGNED,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `login` (`login`),
  UNIQUE KEY `email` (`email`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS `user_tokens` (
  `id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
  `user_id` int(11) UNSIGNED NOT NULL,
  `user_agent` varchar(255) NOT NULL,
  `token` varchar(255) NOT NULL,
  `created` int(11) UNSIGNED NOT NULL,
  `expires` int(11) UNSIGNED NOT NULL,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `token` (`token`),
  KEY `fk_user_id` (`user_id`),
  KEY `expires` (`expires`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

ALTER TABLE `user_tokens`
  ADD CONSTRAINT `user_tokens_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`) ON DELETE CASCADE;

Comments

[Иван василичь]

так надо переварить, я предпологал, что то такое потому, что без такой реализации не зделать многосессионый вход. вопрос тогда, если это аутентификация и все храниться в куки например и оно само все так авторизуеться как тогда. делать авторизацию пользователя когда он хочет зайти на сайт по хешу password из users???

[Иван василичь]

а что должно храниться в last_login???

[Антон Шаманов]

Иван василичь, timestamp последней авторизации, это рабочий вариант, а не мин.версия т.ч. некоторые поля могут и не потребоваться

Answer 2

[xmoonlight]

1. Токен авторизации клиента - должен храниться на клиенте (в куках).
2. Срок жизни токена авторизации клиента - 3-5 дней.
3. Смена/обновление токена авторизации клиента - "прозрачная"для конечного пользователя.
(Это всё было только о конкретном веб-браузере без привязки к аккаунту пользователя.)

А токен авторизации пользователя (после ввода логина и пароля) - выдаётся только после успешной авторизации клиента.

Для успешной авторизации проверяется, что браузер(клиент) - авторизованный, и пользовательские логин с паролем - верные.

Comments

[Иван василичь]

аутентификации имеется в вииду??? просто если авторизации то как сравнивать если пользователь хочет зайти с паролем ?

[xmoonlight]

Иван василичь, формируется хеш через токен аутентификации (токен клиента/браузера) и пару: логин-пароль.
При отправке на проверку авторизационного юзер-хеша - он подписывается токеном клиента.
Если что-то не совпадает с серверными вычислениями - ошибка авторизации.

[Иван василичь]

xmoonlight, спасибо за ответы, мои познания в php не дают мне додуматься, что за токен? а можно пожалуйста пример, чтобы иметь хотя бы общее представленее как это выглядит?

у меня просто генерируется cлучайное число и из него получаю hash('sha512', randomKey); и его заношу в базу и сохраняю в куки, и по этим кукам я проверяю этот ли пользователь.

[xmoonlight]

Иван василичь, Токен клиента выдаётся сразу после регистрации через почту (например), используя отпечаток (fingerprint).
Если все куки будут похищены - то это всё равно никак не поможет злоумышленнику войти с украденными чужими учётными данными.
За это и отвечает токен клиента.

[Иван василичь]

xmoonlight, думал, думал. допустим сгенерировать случайное число и загнать его в хеш sha512 с солью не проблема, допустим это токен будет. а как мне получить fingerprint (почитал про browser fingerprint, оно?). я незнаю к чему привязаться. единственное, что в голову приходит это user_agent и что-то из хеадеров выташить и тоже загнать в хеш. Как я понимаю, это должно быть что-то уникальное со сторны клиента. я извиняюсь, это походу дела изучаю php

[xmoonlight]

Иван василичь,

(почитал про browser fingerprint, оно?)

да. Почитали, да недочитали. Читайте доку к либе fingerprint2.js: там все опции по сборке "отпечатка".

[Иван василичь]

xmoonlight, okэ