Вход по паролю и статистика.

Как установить пароль на директорию я знаю, спасибо.
Проблема теперь в том, как отличить одного юзера от другого. В каких-нибудь параметрах сервера отображаются его логин или пароль или что-н другое? К примеру, чтобы контролировать трафик.
Еще вопрос. Как установить время действия пароля?
Заранее спасибо.

Я задавал этот вопрос здесь где-то месяц назад. После недолгой дискуссии стало ясно, что надо писать свой обработчик на php. Например, в htaccess нет нормального способа сделать logout. Те, которые есть, работают через задницу и не всегда.

В общем сейчас у меня устроено так. Пользователь вводит имя и пароль. Я сохраняю у него в кукисе код сессии. При каждом следующем действии я читаю куку и, если ip совпадает, разрешаю.

Выход из системы, соответственно, стереть куку.

Петр Кроликов писал:

В общем сейчас у меня устроено так. Пользователь вводит имя и пароль. Я сохраняю у него в кукисе код сессии. При каждом следующем действии я читаю куку и, если ip совпадает, разрешаю. Выход из системы, соответственно, стереть куку.

Да, но откуда ты знаешь - КТО ИМЕННО к тебе зашел? Ведь ни логин, ни пароль при вводе через htaccess не отображаются ни в переменных сервера, ни в методе param(). Понятно только, что зашел НЕКТО, с таким то Ай-пи, понятно также, что если он вошел в защищенную область, то он ввел правильный логин и пароль из файла с паролями. Но какой именно логин он ввел, чтобы тут же ему этот логин переписать в куку я не знаю.

При базовой аунтификации (по средствам .htaccess\.htpasswd) логин юзера передается в переменную окружения REMOTE_USER.
Однако если ты хочешь контролировать траффик , то тут лучше делать через обработчик , а если хочешь контролировать время действия доступа в закрытую зону , то лучше юзать сессии или их реализацию что вышел описал Петр Кроликов и писать туда логин и время доступа и сравнивать постоянно.

xreload писал:

При базовой аунтификации (по средствам .htaccess\.htpasswd) логин юзера передается в переменную окружения REMOTE_USER.

Ах, вот оно что!!! Благодарю
Правда у меня этот параметр называется REDIRECT_REMOTE_USER. (кодю на Perl)
П.Кроликову также решпект за сочуйствие.

Да, еще один вопрос вдогоночку.
Насколько я понимаю функции РАСШИФРОВКИ пароля не существует? Шифруем $cod=crypt($pass), а обратно никак что ли?

crypt -- One-way string encryption (hashing)

Разве в логах у тебя имя пользователя не отображается?


http://httpd.apache.org/docs/1.3/logs.html

Код:

(%u) This is the userid of the person requesting the document as determined by HTTP authentication. The same value is typically provided to CGI scripts in the REMOTE_USER environment variable. If the status code for the request (see below) is 401, then this value should not be trusted because the user is not yet authenticated. If the document is not password protected, this entry will be "-" just like the previous one.

Я вообще от логина через .htaccess отказался. Сделал просто текстовый файлик с именами и хэшами паролей.

То есть, первый раз пароль вводят тоже через php, и он же сразу куку ставит.

Петр Кроликов писал:

Я вообще от логина через .htaccess отказался. Сделал просто текстовый файлик с именами и хэшами паролей.

Да я на своих сайтах тоже обходился своими средствами блокировки и шишрования. Но вот попался серьезный заказчик, хочит штоб все было как у людёв. Сделаем - грю я!
У меня тоже есть такой файлик, и все оттуда читается и записывается туда, но при входе в защищенную зону должна появляется стандартная табличка ввода пороля - это успокаивает заказчика. Да и самому как-то спокойнее.
А ты что же, так уверен в куках? Их ведь тоже подделывают.

AT писал:

А ты что же, так уверен в куках? Их ведь тоже подделывают.

Я еще ip проверяю. Кроме того, чтобы подделать куку её надо сначала украсть. А если хакер может украсть куку и ай-пи, то тут и .htaccess не поможет.

А просто .htaccess имеет одну серьезную проблему. В нем не реализовать по человечески logout. Если эту проблему как-то решить, можно, наверное и через него.

Кстати, стандартную табличку, вроде, можно и через JavaScript вызывать. Могу ошибаться, конечно, по поводу стандартной таблички.

Петр Кроликов писал:

Я еще ip проверяю. .. Кстати, стандартную табличку, вроде, можно и через JavaScript вызывать. Могу ошибаться, конечно, по поводу стандартной таблички.

Я IP вообще не блокирую, точнее блокирую, но не более чем на 10 секунд, если с него идет непрерывный спам и при различных других условиях. Ip оно же не постоянное, может быть прокси, динамическое и т.п. Вообще, не понимаю тех разработчиков, которые предлагают своим клиентам блокировать IP. Мне кажется это глупостью. Контролирую REFERER, контролирую куки, контролирую активность (различными способами), контролирую "запрещенные" слова и т.д.
Теперь вот разобрался с .htaccess. Классику в любом случае нужно знать.
Слушай, а что такое logout, чего ты за него так волнуешься?

Мне не удалось объяснить в предыдущем посте.

IP я не блокирую, я проверяю, что серфер заходит с того же IP, с которого он вводил пароль. То есть, если хакер украдет куку и попробует войти со своего IP, система его не пустит.

Logout - это выход. Без этого не будет нормальной защиты. Допустим, понадобилось тебе что-то очень срочно сделать. Зашел, сделал с чужого компа. И если нет logout, то после этого любой может сесть за этот комп и работать.

Петр Кроликов писал:

Мне не удалось объяснить в предыдущем посте. IP я не блокирую, я проверяю, что серфер заходит с того же IP, с которого он вводил пароль. То есть, если хакер украдет куку и попробует войти со своего IP, система его не пустит.

Вообще, есть эффективные методы создания куки на основе, например, логина и browser fingerprint. Есть система создания обратной подписи на основе временной метки, что позволяет ускорить авторизацию лдя 100 тыс человек, 1000 тыс, 3-х миллионов и т.д. Все это делается через написание своих модулей под апачу. Вот где раздолье.

Цитата:

Logout - это выход. Без этого не будет нормальной защиты. Допустим, понадобилось тебе что-то очень срочно сделать. Зашел, сделал с чужого компа. И если нет logout, то после этого любой может сесть за этот комп и работать.

Logout для базовой аутентификации делается тоже достаточно просто через подмену AuthName. Для этого надо подправлять апачевский модуль. Можно сделать через подмены AuthFile для определенного подкаталога при том же AuthName и т.д.

Так глубоко я не забирался