Ciao a tutti, avrei bisogno di qualche chiarimento in merito al login automatico.
Vorrei sapere da chi di voi ha lavorato con i cookie per ottenere un login automatico dell'utente, che dati avete memorizzato appunto nel cookie.
In molti mi hanno detto di non memorizzare l'username e la passwor per motivi di sicurezza...
...voi come vi siete mossi? cosa consigliate?
Grazie!
Puoi inserire nel cookie un ID univoco (es. hash dell'ID utente + secret) che ti permetta di identificarlo all'interno della tabella utenti.
Il valore NON deve essere riproducibile, nel senso che non deve essere semplicemente l'ID dell'utente, altrimenti un utente esperto può effettuare l'autologin come se fosse un altro utente semplicemente cambiando il valore del cookie.
ho capito che dici... senti, mi spieghi cosa vuoi dire con "hash dell'ID utente + secret" ?
come faccio a rendere non riproducibile l'ID scritto nel cookie?
Dove secret è una stringa casuale (es. ed076287532e86365e841e92bfc50d8c).Codice PHP:$hash = md5($user_id . 'secret');
grazie 1000 per la spiegazione!
Approfitto per chiederti un altra cosa...
attualmente, con il sistema di login del mio sito, recupero tutti i dati relativi all'utente, quindi nome, cognome, data di nascita, città, ecc ecc...
Se invece effettuo il riconoscimento tramite cookie, quindi con l'auto login... come faccio a recuperare tutto? devo fare una query al DB nel momento in cui trovo il cookie?
Tu come faresti?
Quando un utente non loggato entra nel sito, verifichi la presenza del cookie. Se è presente, effettui la stessa procedure effettuata per il login solo che invece di usare l'username/password per il WHERE, utilizzi l'hash contenuto nel cookie. Se esiste l'utente, non fai altro che caricare i valori in sessione esattamente come faresti nel login "normale".
mmm in alternativa, cosa che preferisco, l'hash dell'autologin lo genero da più dati, anche variabili, che risetto a ogni login
in modo da non lasciare sempre lo stesso hash e soprattutto in modo che non si possa calcolare a mano
se per esempio ti registri 1000 utenti puoi riuscire a risalire ai valori che sono stati messi sotto hash e una volta fatto si vedrebbe ad occhio un discorso del genere
invece una serie di valori anche sotto hash che a loro volta sono accodati ed hashiati da molta più sicurezza
ovviamente siamo al livello semi paranocio ... ma alla fin fine è una modifica di sicurezza che non comporta nessuna complicazione
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Concordo sui dati multipli. Il problema del reset ad ogni login è che cosi' l'utente che utilizza più PC (es. casa/lavoro) si trova a dover effettuare manualmente il login ogni volta che cambia postazione.mmm in alternativa, cosa che preferisco, l'hash dell'autologin lo genero da più dati, anche variabili, che risetto a ogni login
si vero, ma alla fin fine non è una cosa cattiva
se tu arrivi e tenti di copiarti i cookie per effettuare il login chi usa il normale login se ne può accorgere più facilmente
però alla fin fine puoi sempre usare più dati, anche generati casualmente e metti in un'apposita casella del database come chiave unica e la usi come riferimento
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando