Как правильно сделать аунтефикацию?

Question

pshy_soch @pshy_soch

Идентификация пользователей

Как правильно сделать аунтефикацию?

Мне нужна теория.
Что вы понимаете под хорошей аунтефикацией? Пробовал JWT, но потом столкнулся с хейтом, из за его безопасности.
Пароли должны храниться в сессиях , или же в кукисах?

Вопрос задан более трёх лет назад
109 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Дмитрий @dimoff66

Пароли должны храниться в базе после применения к ним алгоритма шифрования. Больше они нигде не должны храниться. Или вы имеете ввиду токен для JWT?

Написано более трёх лет назад
pshy_soch @pshy_soch Автор вопроса

Дмитрий, Нет, я о сессиях и кукисах, являются ли они хорошим тоном, или достаточно базы данных?

Написано более трёх лет назад
Дмитрий @dimoff66

pshy_soch,
1) Пользователь при регистрации задает пароль, этот пароль вы пропускаете через механизм шифрования(самый модный и безопасный сейчас BCrypt) и сохраняете в базе.
2) Пользователь проходит аутентификацию, вводит пароль. Вы пропускаете пароль через механизм шифрования и если полученное значение совпадает со значением в базе, генерируете токен и выдаете на клиент, где храните его в кукис с флагом secure http-only. При запросах к серверу отсылаете кукисы и на сервере проверяете ключ. Никаких проблем быть не должно.

Написано более трёх лет назад
pshy_soch @pshy_soch Автор вопроса

Дмитрий, jwt токен?

Написано более трёх лет назад
Дмитрий @dimoff66

pshy_soch, Не знаю что именно "jwt токен", но скорей всего да =)

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Python-разработчик

10 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
Нетология

Python-разработчик с нуля

6 месяцев

Далее

Решения вопроса 1

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

iOS

+1 ещё

Простой
Basic авторизация на сайте через QR код на IOS все равно появляется окно для ввода логина и пароля. Почему так?
- 2 подписчика
- 16 окт.
- 133 просмотра
0

ответов
Идентификация пользователей

+1 ещё

Простой
Почему JWT-авторизация использует два раздельных токена (access + refresh), а не один комбинированный?
- 1 подписчик
- 05 авг.
- 247 просмотров
3

ответа
Идентификация пользователей

Простой
Какой лучший способ хранения данных аутентификации?
- 2 подписчика
- 24 июл.
- 140 просмотров
1

ответ
Веб-разработка

+2 ещё

Простой
Как работают сервисы «Идентификация посетителей» (получения номера телефона)?
- 2 подписчика
- 12 мая
- 1046 просмотров
1

ответ
WordPress

+2 ещё

Простой
Wordpress woocommerce. Отправка пароля пользователю. Как сделать?
- 1 подписчик
- 03 мая
- 180 просмотров
2

ответа
Spring

+2 ещё

Простой
Как создать авторизацию через Steam на Java?
- 1 подписчик
- 06 апр.
- 146 просмотров
1

ответ
Информационная безопасность

+2 ещё

Средний
Как реализовать доступ как api только с приложения?
- 1 подписчик
- 31 мар.
- 111 просмотров
2

ответа
Идентификация пользователей

Простой
Как получить данные о транзакции TON Connect если он возвращате BOC?
- 1 подписчик
- 19 мар.
- 74 просмотра
0

ответов
Идентификация пользователей

Простой
Как сайты распознают что я не уникальный пользователь?
- 1 подписчик
- 13 мар.
- 167 просмотров
0

ответов
Компьютерные сети

+2 ещё

Средний
Возможно ли добавить дополнительную авторизацию перед доступом к веб-серверу?
- 1 подписчик
- 11 мар.
- 261 просмотр
5

ответов
Показать ещё Загружается…

Аналитик процессов (Битрикс, 1С, RPA)

Первый Бит • Челябинск

от 170 000 ₽

Фуллстек-разработчик Next.js (App Router)

MinecraftPulse

от 200 000 ₽

Аналитик

SLLR.market

от 180 000 до 250 000 ₽

Пароли должны храниться в базе после применения к ним алгоритма шифрования. Больше они нигде не должны храниться. Или вы имеете ввиду токен для JWT?
Дмитрий, Нет, я о сессиях и кукисах, являются ли они хорошим тоном, или достаточно базы данных?
pshy_soch,
1) Пользователь при регистрации задает пароль, этот пароль вы пропускаете через механизм шифрования(самый модный и безопасный сейчас BCrypt) и сохраняете в базе.
2) Пользователь проходит аутентификацию, вводит пароль. Вы пропускаете пароль через механизм шифрования и если полученное значение совпадает со значением в базе, генерируете токен и выдаете на клиент, где храните его в кукис с флагом secure http-only. При запросах к серверу отсылаете кукисы и на сервере проверяете ключ. Никаких проблем быть не должно.
pshy_soch, Не знаю что именно "jwt токен", но скорей всего да =)

Answer 1 · 2020-05-25 17:42:30

JWT это не аутентификация, это формат токена. И за безопасность он не отвечает по тому что в нем не хранят ничего ценного
пароли нигде храниться не должны
Для простоты можно начать с куки и хранить там идентификатор сессии
если хочется сразу хорошо и правильно - стоит почитать о том как работает OAuth2 и OpenID. Для того чтобы максимально просто начать потыкать - взять бесплатный акк на Auth0 и выполнить простой мануал минут за 15

Как правильно сделать аунтефикацию?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт