Какую авторизацию сделать на сайте?

Question

[ASiD]

Добрый день. Есть публичный сайт. Нужно сделать авторизацию для пользователей.
Раньше делал сайты на PHP, использовал авторизацию через куки и сессии. Новый сайт на ReactJS (frontend) + PHP (backend). Нашёл в интернете не мало различных вариантов для организации авторизации, но не могу определиться какой лучше использовать в моём случае. Сейчас сайт на одном сервере, но есть перспективы роста.

Подскажите, какую авторизацию выбрать в 2020 году? Так сказать best practices.

Comments

[kafkiansky]

http basic

[JhaoDa]

В 2020 году пора понимать, что это не авторизация, а аутентификация.

Answer 1

[Дмитрий Комчев]

Можете рассмотреть вариант использования JWT в PHP: Авторизация на сайте с JSON Web Token

Comments

[di]

Конкретно там не самая лучшая реализация с точки зрения безопасности- что будет если токен попадет в руки к злоумышленнику? Для простого сайта может и пойдет, а если завязано на бабках лучше 100 раз подумать

[deepblack]

Alex,

Конкретно там не самая лучшая реализация с точки зрения безопасности

Чем конкретно?

что будет если токен попадет в руки к злоумышленнику?

В этом нет проблемы, токен можно инвалидировать (удалить из белого списка или добавить в черный, в зависимости от реализации). Как access так и refresh. + не забываем про ограничение по времени (срок жизни токена).

Встречный вопрос: Что будет если пароль попадёт к злоумышленнику?

[di]

Конкретно в вашей ссылке

Авторизация на сайте с JSON Web Token

не увидел ни слова о refresh и access.

С рефреш токеном сразу много нюансов всплывает, человек может с нескольких устройств сидеть одновременно, и его не стоит разлогинивать. Но у человека должна быть возможность разлогиниться на всех устройствах в случае атаки.

Встречный вопрос: Что будет если пароль попадёт к злоумышленнику?

Будет беда) Но имелось ввиду что jwt хранится в куках в данном примере, в случае удачной xss атаки я вытащу его и отправлю на свой сервак. а потом гордо буду гулять с этим ключом)

[deepblack]

Alex,

Конкретно в вашей ссылке, не увидел ни слова о refresh и access.

Это не моя ссылка. Это его -> Дмитрий Комчев

Но имелось ввиду что jwt хранится в куках в данном примере, в случае удачной xss атаки я вытащу его

Если есть xss, то можно и сессию угнать.

В целом работа с jwt требует более высокой квалификации, нежели более традиционные методы аутентификации.

Для ответа есть кнопка "Ответить", а то так ваш собеседник может и не увидеть ответ.
Будьте внимательнее )

Answer 2

[Константин Нагибович]

Сделайте вариант авторизации через соцсети.

Comments

[ASiD]

Это само-собой. Только не у всех они есть. Так что кроме этого точно что-то нужно иметь.

[Константин Нагибович]

ASiD, гугло-почта, ВК, ФБ. Что-то из этого наверняка найдется.

[Александр Филиппенко]

Это не отменяет необходимости использования JWT, либо сессий

Answer 3

[Александр Филиппенко]

Самое простое - использовать стандартные сессии PHP, только настроить хранение в redis, или чём-то подобном.
https://gist.github.com/Alexfilus/0c55972103f28699...
Вот пример. Единственное ограничение - хранилище сессий должно умещаться на одном сервере. Вы говорите что есть перспективы того что сайт перестанет умещаться на 1 сервере, но что именно перестанет справляться с нагрузкой? Обычно этого не PHP, и не Redis, а основная РСУБД.
Есть ещё вариант sticky sessions, но это уже костыль.
Классический JWT хорош всем, кроме того что это накладные расходы на шифровку - дефировку подписей, и невозможно сделать кнопку типа "Разлогинь меня на всех устройствах". То есть даже если юзер подозревает что у него украли пароль, или JWT токен, он не сможет разлогинить злоумышленника, даже сменив свой пароль. Только ждать пока срок действия токена кончится.
Часто рекомендуют вариант с access_token и refresh_token. Это довольно надёжно, и можно управлять их хранением, но по сути, те же sticky sessions.
В общем, лучше всего сделать микросервис авторизации, на базе сессий, и пока этот микросервис способен жить на одном сервере, его не трогать. А такая простая штука должна выдерживать тысячи запросов в секунду на 1 ядро.