Как реализовать авторизацию на сайте?

Question

[Эрик Микоян]

Как реализовать авторизацию на сайте?

Comments

[Антон Иванов]

Научиться гуглить и не задавать глупых вопросов.

[Эрик Микоян]

Антон, Для чего же тогда нужен форум?)

[Антон Иванов]

Эрик Микоян, для решения задач, на которых не нашлось ответа в других источниках информации. Поймите, авторизация и регистрация пользователей разжевана и пережевана уже миллион раз на всех возможных языках программирования.

[Антон Иванов]

Эрик Микоян, Кроме того, ваш вопрос звучит слишком обобщенно. На каком ЯП вы планируете реализовывать авторизацию? С помощью каких инструментов? Вы хотите написать свою собственную систему авторизации или использовать готовые механизмы (например, OAuth)? Вы не удосужились написать в вашем вопросе абсолютно ничего. Какой ответ вы ждете?

[Эрик Микоян]

Антон, Да, вы правы. Мне действительно стоило оставить больше информации и задать вопрос поконкретнее

Answer 1

[Adik Izat]

Создать базу с пользователями. У каждого пользователя должен быть уникальный логин (можно проверить генератором и проверочной рекурсией). В базе хранить нужно не сам пароль а хэшированный или зашифрованный. При входе пароль нужно опять хэшировать и сравнивать хэши пароля в базе и на странице входа. Остальные поля в базе можешь сам составить. У меня это обычно: id, email, login, phone, is_verified, status, passhash, is_deleted

Comments

[Сергей Шиловский]

Хэшировать надо на клиенте или на сервере? Или и там и там? В первом случае легко узнать метод хэширования, во втором можно перехватить пароль пока он летит к серверу.

[#]

Сергей Шиловский,

и там и там

..

В первом случае легко узнать метод хэширования

и что? upd для опенсоцов можно посмотреть вообще весь код на обоих сторонах.. но проекты от этого не падают.. /upd

во втором можно перехватить пароль пока он летит к серверу

бинго! вы уже знаете, почему так не нада

[#]

Pardon Me! Where Do I Find 4giveness?,

Бесполезно, глупо, опасно

а как правильно

заходи кто хочешь, бери что хочешь

?!

[#]

Pardon Me! Where Do I Find 4giveness?, но все равно bad practices

[#]

Pardon Me! Where Do I Find 4giveness?,

я лишь о том, что уникализировать пароль - сложно и не нужно

однако фраза

У каждого пользователя должен быть уникальный логин..

не содержит слово пароль

ps а так, сама по себе, мысль о ненужности и невозможности уникализации пароля, в целом вполне..

[Adik Izat]

Pardon Me! Where Do I Find 4giveness?, уникализировать нужно логин, а не пароль. А метод хэширования можно использовать стандартный, с применением соли. Данный человек спрашивал о том как организовать простую систему авторизации, а не новороченный велосипед. Вы полностью правы в своих суждениях, если речь идет о "супер правильной" системе авторизации и я согласен!)

[Сергей Шиловский]

Pardon Me! Where Do I Find 4giveness?,

HTTPS.

Подмена сертификата.
#,

и что? upd для опенсоцов можно посмотреть вообще весь код на обоих сторонах.. но проекты от этого не падают..

Звучит логично, но ведь зная метод хэширования можно подобрать пароль, те же радужные таблицы.

[#]

Сергей Шиловский,

но ведь зная метод хэширования можно подобрать пароль, те же радужные таблицы

у банковской карты пинкод 4 цифры .. каковы шансы подобрать код стоя у банкомата? .. помогут ли радужные таблицы?

[Сергей Шиловский]

#, ключевая фраза "стоя у банкомата". В случае когда мы знаем метод хэширования, нам не нужно спрашивать сервер каждый раз, мы берём перехваченный хэш и перебираем у себя сколько хотим.

[#]

Сергей Шиловский, ну раз пошла такая пьянка (с) зачем вообще подбирать?!!.. отправляйте хеш!!! (хотя на это и нужен HTTPS)

любой подбор обнаруживается*, а потому и легко блокируется. если опираться только на пару логин/пароль по HTTPS, в принципе, не велика разница что хранить. но по мере изучения вопроса - хеш лучше, особенно если это хеш от пары логин/пароль, а еще лучше от большего количества факторов, особенно меняющихся от сеанса к сеансу и/или наследующих что то от прошлого сеанса ;)))

ps грамотная организация хешей - защита не только от утечки на пользователе, но и от компрометации самого сервера

* - ломовой подбор безпонтовый. а скрытный подбор не приемлемо долгий

[Philipp]

У каждого пользователя должен быть уникальный логин

За это надо бить лопатой по яйцам. Используйте почту в качестве логина. Не надо городить великов.
Если у вас перехватывают трафик на пути к серверу путем подмены сертификатов, тот тут вам уже ничего не поможет за исключением двухстороннего шифрования с обменом ключами по надежному каналу.
Я думаю, вы врядли собираетесь встречаться с пользователем, чтобы обменяться ключами.

Автору вопроса следует просто взять www.passportjs.org и не заниматься велосипедостроением.
Можно добавить вход через Facebook и перестать насиловать людей www.passportjs.org/docs/facebook

[granty]

#, у банковской карты 3 попытки ввода PIN и следует блокировка карты. Поэтому 4-х цифр достаточно для безопасности.

[granty]

Сергей Шиловский,

можно перехватить пароль пока он летит к серверу.

При SRP-6a аутентификации пароль вообще не передаётся по сети. Он не перехватывается даже при передаче по http:

[granty]

Philipp,

тут вам уже ничего не поможет за исключением двухстороннего шифрования с обменом ключами по надежному каналу.
Я думаю, вы врядли собираетесь встречаться с пользователем, чтобы обменяться ключами.

Надёжный канал не нужен, встречаться с пользователем для обмена ключами - тоже.
Задача двухстороннего шифрования решается через Доказательство с нулевым разглашением

[Сергей Шиловский]

#,

ну раз пошла такая пьянка (с) зачем вообще подбирать?!!.. отправляйте хеш!!!

Сам хеш даст доступ только к этому сайту, а вот с паролем можно получить доступ ко всем остальным, не у всех разные пароли на разных сайтах.
Со всем остальным согласен, я имел ввиду простейшую систему, где просто берётся хеш от пароля и в лучшем случае соль, т.к. автор вряд ли сразу начнёт городить супер защиту.

[Philipp]

granty, приведите практический пример реализации.

[granty]

Philipp, практический пример на Хабре, и rfc5054 к нему.
Получив слитую базу (или перехватив процесс регистрации пользователя на сервере), максимум что сможет злоумышленник - представиться сервером и авторизовать пользователя.

[#]

granty,

у банковской карты 3 попытки ...

бинго! точно такой же прием используется для защиты от ломового перебора на сайте

Answer 2

[Sergey В.]

Возьмите имеющуюся систему авторизации и разберитесь - как она работает. Сделайте у себя аналогично.

Comments

[Михаил]

Например какую???