Можно ли сделать такую авторизацию?

Question

[demortall]

Нужно чтоб при авторизации записывало куки.
Например: человек авторизовался, в mуsql нашлось данные. И по этим данным читается id и role человека, и записывало в куки.

Comments

[Lander]

читается id и role человека, и записывало в куки.

В таком случае человек сам себе сможет выставить любую роль. Если не будет дополнительной поверки на сервере. А если такая проверка будет, то зачем писать в куки? Да и id=1 и role=admin - это было бы первое что я попробовал бы себе выставить. :)

[demortall]

Lander, А как тогда можно?)
Можно бы было захешерировать эти данные, или както иначе

[demortall]

Mellorn, ну мне нужно сделать сайт школы

[FanatPHP]

Сессии

[Slava Rozhnev]

JWT

[mefutu]

demortall, Итак вам нужно сделать сайт школы.
1. Ставите wp
2. Выбираете шаблон ( они там все бесплатные из функционала, который вам нужен)
3. Готово и не надо пилить уявимости

[demortall]

mefutu, я не хочу на ворлд пресе.........

[mefutu]

demortall, не хотите wp, возьмите laravel (Voyager) и будет вам и авторизация и роли и политики и красивый backend

[demortall]

mefutu, вы не так поняли. Я сам хочу научиться

[mefutu]

demortall, хмм, если вам нужен голый php , то это будет боль. Laravel - framework, который просто поможет вам разрабатывать, он не сделает все за вас. Он актуальнее при поиске кандидатов на работу. Он использует php и вы точно будете его знать/изучать.
Если же вы все еще не передумали, и хотите использовать php, делать на нём все свое - то вам здесь никто не ответит на ваш вопрос. Авторизация/ аутентификация - достаточно сложный механизм имеющий свои подводные камни, которые надо учитывать. Правильно его реализовать с нуля, нужно читать много инфы и вы увеличите сроки разработки

Answer 1

[none7]

Можно, если эти данные зашифровать приличным криптоалгоритмом. Естественно, что ключ шифрования нужно генерировать из /dev/random и регулярно его менять. Так же храним в кукам id ключа(не чек-сумму), а на сервере все использованные ранее ключи. Так же можно заменить шифрование, на хеш с использованием аналогичного временного ключа. Если ключ сильно протух, то ему не доверяем. Только настоятельно не советую записывать в куки role, ведь если у человека отобрали привилегии, запись в куках всё равно останется с role=admin. Традиционные сессии гораздо надёжнее.

Comments

[demortall]

Можно скрипт того что вы описали в php?

[none7]

<?php
function set_encrypted_cookie($name, $value) {
    // зависит от вашей базы
    // $enc_key_row = sql_request("select key,id from keytable order by date desc limit 1;");
    $value = $enc_key_row['id'] . ':' . openssl_encrypt($value, "bf-cbc", $enc_key_row["key"]);
    setcookie($name, $value);
}
function get_encrypted_cookie($name) {
     $ret = false;
     if(!empty($_COOKIE[$name]) {
         $v = $_COOKIE[$name];
         list($key_id, $value) = split($v, ':');
         $key_id = (int)$key_id;
         // зависит от вашей базы
         // $enc_key_row = sql_request("select id,key,date from keytable where id=$key_id AND date > DATE_SUB(NOW(), INTERVAL 7 DAY);");
         if($enc_key_row !== false)
             $ret = openssl_decrypt($value, "bf-cbc", $enc_key_row["key"]);
    }
    return $ret;
}
?>

Примерно так. Генерацию ключей и вставку их в таблицу уж как-нибудь сами.