|
| |
|
|
| |
для: Alba
(24.05.2007 в 12:18)
| | | :)
Попробовать поставить, сделать редирект, проверить дошли ли.
Если поставите Javascript-ом - заодно проверите, включен ли Javascript. | |
| |
|
|
| |
|
|
| |
для: Trianon
(24.05.2007 в 12:11)
| | | Спасибо за ответ, вроде понял...
А как проверить включены ли куки или нет? (на случай если пользователь пожелает авторизироваться с выключеными куками, что бы выдать ему соответсвуюющее сообщение) | |
| |
|
|
| |
|
|
| |
для: Alba
(24.05.2007 в 11:32)
| | | Фатически, аутентифицирующим токеном в сессионной авторизации является параметр PhpSessionId, который никак не привязан к IP-адресу, ни к прочим свойствам клиента, напр. USER AGENT.
На самом деле это спорно, поскольку и сессию можно отвергнуть, если сохраненные в ней параметры не совпали с пришедшими. Одним из таких параметров как раз может быть кукис, дополнительно метящий клиента. Вот тогда и возникает вопрос, а если мы все равно используем кукисы для аутентификации, зачем в этом опираться на сессию? | |
| |
|
|
| |
|
|
| |
для: Trianon
(24.05.2007 в 11:10)
| | | >Бывает, что аккуратная реализация авторизации на куках даже надежнее сессионной.
не могли бы по-подробнее об этом? | |
| |
|
|
| |
|
|
| |
для: Trianon
(24.05.2007 в 11:10)
| | | Я как то разбирал чужой код, и там авторизация была без использования сессий, а сейчас не могу вспомнить где он лежит, чтоб посмореть снова. короче, мне просто был интересен принцип авторизации на кукях.
Так то я представляю как это делается, но боюсь что у меня еще не достаточно опыта чтоб сделать это самому и без "дырок", вот и решил спросить у матерых волков в программировании на php :) | |
| |
|
|
| |
|
|
| |
для: Alba
(24.05.2007 в 10:28)
| | | Бывает, что аккуратная реализация авторизации на куках даже надежнее сессионной.
На самом деле, наибольшая гибкость и устойчивость достигается при совмещении этих двух средств. В сессиях всё же проще хранить данные сеанса. Куки позволяют создать более надежный механизм аутентификации. | |
| |
|
|
| |
|
|
| |
для: Alba
(24.05.2007 в 10:28)
| | | Если на сайте нет XSS-уязвимостей, то нормально.
PS А почему сессии не подходят? Ведь они действуют по тому же принципу, что и сеансовые куки - более того сессии используют сеансовые куки для своей работы. В плане надёжности сессии более предпочтительнее, так как данные сессии не покидают сервера. | |
| |
|
|
| |
|
|
| | Всем здрасти.
Подскажите пожалуйста, если я сделаю авторизацию на сайте с помощью сеансовых кукей - это будет нормально или это слишком ненадежно?
И как быть если куки отключены? (как это можно проверить?)
Или посоветуйте как лучше организовать авторизацию но без использования сессий... | |
| |
|
|
|
