PHP Lang
  1. PHP Lang
  3. Проверка подлинности пользователя PHP с использованием базы данных и IP-адреса?
Intereting Posts
Интеграция оболочки Mailjet API v3 в виде библиотеки Codeigniter Каков максимальный размер для $ _SESSION? ini_set ("upload_max_filesize", "200M") не работает в php Хранение хэшированного идентификатора в БД и извлечение его или создание хэшированного идентификатора в самом коде и его использование? Получение даты создания Facebook в профиле Получение имен файлов UTF-8 для работы с PHP ZipArchive Добавление изображения в Excel в phpexcel в php Symfony2: Как установить фильтр twig | date ("d F, Y") для вывода месяцев на шведском языке? Маршрутизация CakePHP в контроллерах страниц Чтение таблицы с использованием PHPExcel Композитор не может скачивать файлы База данных MySQL английских слов? загрузка файла с одинарными кавычками в filename с помощью move_uploaded_file не работает Ограничить пользователей с нескольких страниц Doctrine many-to-one возвращает только идентификатор

Проверка подлинности пользователя PHP с использованием базы данных и IP-адреса?

Я рассматриваю проблемы, возникающие при аутентификации пользователей, используя сеансы / куки и риски безопасности, которые возникают при захвате сеанса. Я понимаю, что использование безопасного https: // является наиболее эффективным методом, а также функцией restoreate_session_id () и использованием случайной строки для проверки (среди множества дополнительных процедур).

Мой вопрос заключается в следующем: существует ли возможность включить метод, который отказывается от сеансов и файлов cookie, и использует только переменные, хранящиеся в базе данных?

Вот как я это установил:

-Выберите столбец в таблице пользователя, который может содержать IP-адрес, и тот, который будет логическим.

Когда пользователь «входит в систему», устанавливает текущий IP-адрес пользователя в базу данных и устанавливает значение Boolean равным false (если пользователь не хочет «запоминаться») или true (если они это делают).

-На странице загрузки он проверяет текущий IP-адрес с тем, который хранится в пользовательской базе данных. Если он совпадает, пользователь считается действительным.

-Закройте окно, затем скрипт очистит эти значения, и пользователь «выйдет из системы».

-Если пользователь хочет «оставаться в системе» (что я знаю, это огромный риск для безопасности), то переключатель (логическое значение) просто дезактивирует скрипт выхода из системы, и IP-адрес останется сохраненным для пользователя.

Какими были бы отступления от такого метода? Возможно ли это?

IP-адреса – это просто не точный и надежный способ однозначной идентификации пользователя. IP может измениться во время сеанса, и несколько агентов-пользователей могут использовать один и тот же исходящий IP-адрес.

Извини 🙂

В последнее время я видел такую ​​проверку IP-адресов в системе, и это вызывало многочисленные проблемы с случайным отключением пользователей все время (при изменении их динамического IP-адреса). Просто не делайте этого, IP-адреса могут меняться, поэтому вы не можете полагаться на них.

Скорее всего, вы должны взглянуть на существующие методы аутентификации и попытаться реализовать это. Будь проще.

Существующие ответы, говорящие «динамический IP-вопрос», являются абсолютно правильными. Рассмотрим мобильное устройство, подключенное через 3g. каждый раз, когда пользователь входит в диапазон новой башни, их IP-изменения …