utilizzo amfphp, flash 2004 e mysql. Quali metodi mi consigliate per sviluppare un programmino di autenticazione degli utenti abbastanza sicuro??
Grazie dei suggerimenti
utilizzo amfphp, flash 2004 e mysql. Quali metodi mi consigliate per sviluppare un programmino di autenticazione degli utenti abbastanza sicuro??
Grazie dei suggerimenti
Questa notte non danzo con la mia anima ma scrivo lo stesso. Scrivere per non dimenticare di aver vissuto
Questo -> http://www.sephiroth.it/tutorials/fl...uthentication/ anche se non usa AmfPhp è un esempio non male direi
Qui invece http://www.sephiroth.it/phpwiki/inde...cure%20gateway trovi un piccolo tutorial su come rendere più sicuro un gateway AmfPhp
Spero possano esserti utili
sia che i dati viaggino in un form post HTML, sia che viaggino in AMF il concetto e' sempre quello di fare tutta l'autenticazione lato server ... se l' swf si 'abilita' a features da utente registrato, ogni sua mossa in AMF dovra' essere filtrata da questa autenticazione .
Le sessioni, ancor meglio se in database, potranno aiutarti a sapere, per ogni chiamata AMF, se l' utente e' autorizzato o meno ( sessione che ad esempio con un semplice booleano settato al momento del login diventa preziosissima ) .
Avevo in mente di usare le sessioni da db infatti.Ma quindi dopo essermi loggato ogni volta che faccio una chiamata amfphp verifico la presenza dell'id di sessione e se sono in timeout elimino la sessione e ritorno con un bel messaggio di errore. Mi conviene creare una funzione fatta apposta da includere.
Grazie mille per gli esempi
Questa notte non danzo con la mia anima ma scrivo lo stesso. Scrivere per non dimenticare di aver vissuto
C'è solo un piccolo particolare che non mi è ancora chiaro. Quando amfphp restituisce il mio id di sessione questo esiste almeno che non venga fatto il refresh della pagina. Perciò devo per forza utilizzare gli shared object?
Questa notte non danzo con la mia anima ma scrivo lo stesso. Scrivere per non dimenticare di aver vissuto
se parlo di lato server, intendo lato server ... in flash non deve mai esistere l' autenticazione, se non volatile post log-in, uno shared object e' un file tranquillamente scrivibile a mano ... e non ti serve se non per user e password ... poi la sessione resta persistente di suo e si aggiorna ad ogni chiamata ...Originariamente inviato da heventorizon
C'è solo un piccolo particolare che non mi è ancora chiaro. Quando amfphp restituisce il mio id di sessione questo esiste almeno che non venga fatto il refresh della pagina. Perciò devo per forza utilizzare gli shared object?
Allora dimmi se ho fatto giusto. Invio login e password al php lui verifica se esistono nel db, se si creo una sessione da database e rimanda indietro l'id di sessione insieme al tempo di vita della sessione. Questi due dati li metto dentro ad un cookie.
In seguito ogni volta verifico la presenza del cookie e se la sessione è ancora attiva.
Questa notte non danzo con la mia anima ma scrivo lo stesso. Scrivere per non dimenticare di aver vissuto
e se modificassi a mano nello shared il tempo di validita' della sezione ?Originariamente inviato da heventorizon
Allora dimmi se ho fatto giusto. Invio login e password al php lui verifica se esistono nel db, se si creo una sessione da database e rimanda indietro l'id di sessione insieme al tempo di vita della sessione. Questi due dati li metto dentro ad un cookie.
In seguito ogni volta verifico la presenza del cookie e se la sessione è ancora attiva.
In fondo se usi sessioni in db fai delle query, una o piu' query , se salvi invece solo user e password e controlli ad ogni chiamata che siano presenti, fai una sola query in piu' per chiamata ... io metterei user e password nello shared, nient altro.
Log-in .... php controlla che user e password siano presenti in database, se presenti
return '&auth=true';
In flash ... if String( auth ) == 'true' ...
shared.data.uname = uname;
shared.data.upwd = upwd;
shared.data.auth = true;
poi in flash se
shared.data.auth == true ... fai le cose da utente autenticato, ma quando interagisci con php invii sempre anche
shared.data.uname
e shared.data.upwd
il php ricontrolla l'autenticazione con user e pwd e in caso fa quello che gli e' stato chiesto di fare.
in amfphp ti basta un solo metodo a ritorno booleano per autenticare, dentro gli altri richiami quel metodo prima di fare qualunque cosa.
Se devi salvarti altri dati dal php, te li invii a flash e li salvi in sharedObject o in una variabile, a seconda che tu voglia farli ricordare o no alla prossima visita.
Io avrei affrontato cosi' il tutto, la sessione in db ti serve se il solo php deve ricordarsi cose gia' fatte, ma puoi comunque gestirla in php, senza inviare alcunche' a flash.
Poi magari ci sono altri metodi validi, vedi tu, il mio e' uno dei tanti
Ma memorizzare in un cookie nome utente e password non è poco sicuro?
Questa notte non danzo con la mia anima ma scrivo lo stesso. Scrivere per non dimenticare di aver vissuto
si, ma e' peggio salvare una variabile che in automatico autentica l' utente .... questo forum salva nome utente e password in un cookie ... CHL pure, altri anche ... e' il metodo piu' utilizzato ... anche se per me sarebbe meglio autenticare ogni volta l'utenteOriginariamente inviato da heventorizon
Ma memorizzare in un cookie nome utente e password non è poco sicuro?
Permessi di invio
Rispondi quotando