Kohana — как происходит авторизация из одной локальной сети?

Question

[mandrozz]

Здравствуйте. Заметил интересную особенность авторизации на сайтах, сделанных на kohana.

В нашей локальной сети в офисе, при авторизации на сайте с одного пк авторизация проходит успешно, если зайти с такого же браузера с другого пк, то не надо будет авторизовываться, человек автоматически попадает в учетку ранее авторизовавшегося человека. Если же этот человек с делает выход и новую авторизацию, то теперь первый человек попадет в учетку второго.

В разных браузерах данный эффект не работает, на других сайтах тоже, но вот на сайтах на kohana срабатывает всегда. Объясните пожалуйста, чем может быть вызван данный эффект, чтобы можно было с ним что-то сделать.

Спасибо.

Answer 1

[portfelio]

Данный эффект может быть вызван исключительно радиусом кривизны верхних конечностей разработчика.

Comments

[mandrozz]

Логично)
Схема проверки "авторизованности" пользователя происходит следующим образом:
В общем для всех контроллере приложения (от которого наследуются все остальные)
объявляется
protected $user;
в методе before
$this->user = Auth::instance()->get_user();
и соответственно проверка на вход производится следующим образом:

if ($this->user === NULL)
            HTTP::redirect('login');

укажите пожалуйста на косяки такой схемы

[portfelio]

Например так:

if ($this->user->id===null) или что там у вас

или так:

if ($this->user->pk()===null)

а может и, например, так:

$this->user = Auth::instance()->get_user('ooooooops');
if ($this->user==='ooooooops')

[mandrozz]

Ок, спасибо, проверю ваши варианты

[Назар Мокринский]

@portfelio При чем тут это? Если бы только в такой проверке была проблема - то пользователь был бы гостем всегда.

Answer 2

[Назар Мокринский]

Скорее всего стоит проверка не по id сессии пользователя, а по IP, правда не знаю, кто до такого кривого способа мог додуматься О_о)

Comments

[mandrozz]

нет, проверка точно не по IP, в разных браузерах/ на разных платформах подобного эффекта нет, только на шиндовс и только в одинаковых браузерах. Стандартный модуль авторизации от kohana никаким модификациям не подвергался

Answer 3

[hOtRush]

Думаю проблема где-то на уровне хранения токенов для восстановления сессии авторизации.
modules/orm/classes/Kohaha/Auth/ORM.php 150 строка
скрин
Но токен генерируется весьма секьюрно и без возможности дублирования скрин

В общем как один из вариантов вижу, что кука "authautologin" у вас одинаковая, правда это маловероятно

Comments

[mandrozz]

да, в том то и дело, что токен достаточно уникально генерируется, а по куке автологин, проверил, если кука есть, то как раз все норм, нет такого бага, а вот если авторизация происходит без запоминания в куке и токене, а на уровне сесии, то баг имеет место быть.
Видимо где то в сети у нас то ли куки общие храянятся, то ли еще что, но вот такой момент нашелся, причем, судя по всему даже разработчики этого модуля этого не учли.

[hOtRush]

я в замешательстве)

Answer 4

[Иван]

А тупо сессии проверить? Ибо это больше на сессии похоже, чем на куки. Закиньте одному пользователю в сессию что-нить, появится у второго? Ну или поменяйте драйвер сессии.

Comments

[mandrozz]

Спасибо, попробую