konto usunięte
Temat: Funkcja "zapamiętaj mnie podczas logowania".
Wojciech Sznapka:
masz roota
Jak szybko można przejść od logowania do serwisu do roota na serwerze ;-)Michał W. edytował(a) ten post dnia 08.07.08 o godzinie 17:44
konto usunięte
Wojciech Sznapka:
masz roota
Wojciech
Sznapka
CTO @ STS Zakłady
Bukmacherskie
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan B.:
Jakoś to do mnie nie przemawia, te trzymanie danych związanych z autologonem ("remember_me") i niepotrzebne nadmiarowe pole "updated_at", skoro masz "valid_to".
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan B.:Czemu? wystarczy sam session_id.
remember_me i tak musi być jako ciastko, nie?
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław Lisicki:
Czemu? wystarczy sam session_id.
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan B.:
Jarosław Lisicki:
Czemu? wystarczy sam session_id.
@Jarosławie, musisz coś trzymać po stronie klienta, żeby go rozpoznać po tym jak zamknie przeglądarke i zgubi sesję - a tym samym staje się to takim remember me.
Widzę poważny błąd w Twojej logice.
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław Lisicki:
Tak z valid_to mozna zrezygnowac. Co do obslugi to majac samovalid_to bez remember_me nie jestes w stanie stwierdzic o ilewydluzyc valid_to.
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan B.:Nie rozumiem. Nigdzie nie napisalem ze remember_me ma wystapic jako ciastko.
To czemu pisałeś?
Jarosław Lisicki:
Tak z valid_to mozna zrezygnowac. Co do obslugi to majac samovalid_to bez remember_me nie jestes w stanie stwierdzic o ilewydluzyc valid_to.
Przedłużasz valid_to jeżeli nie ma ciastka z session_id, jeżeli jest zostawiasz w spokoju i pozwalasz wygasnąć sesji wraz z ciastkiem.
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław
Lisicki
programista,
Gadu-Gadu
Alan B.:Tak jak napisalem ciastko ustawiam raz.
Czyli ciastko ustawiasz za każdym razem?
mógłbyś zrezygnować z "updated_at"
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław Lisicki:
Tak jak napisalem ciastko ustawiam raz.
[...]
Adrian
Z.
IT Project Manager &
PHP Programmer
Wojciech Sznapka:
bo jak włamujesz się na serwer (masz roota), to już tam jesteś i już masz sesje, a jak kolejnym krokiem jest włamanie się do bazy (chyba, że wystawisz se ją na świat)
konto usunięte
Alan Gabriel
B.
Software Engineer,
IFX
Jarosław Fedewicz:
Chyba nikt jeszcze nie proponował tu takiego rozwiązania: trzymać sesje opierając się nie na SESSION_ID w ciastku, a oferować ceertyfikat X.509, którym klient się posługuje dla autoryzacji.
konto usunięte
Alan Gabriel
B.
Software Engineer,
IFX
Następna dyskusja: