Запомнить меня

[Сергей29]

Здравствуйте.
Собственно говоря проблема в следующем : нужно реализовать функцию(галочку) "запомнить меня"
У меня нет возможности создать базу типа MySql с логином и паролем и по идентификатору в куках высовывать из базы пароль.
(У меня связка JS-PHP-Web сервис(XML строка) )

Я пока додумался до двух вариатнов :

1) Записывать пароли с логинами в куки -> сильно шифруя (ну по алгоритму) пароли.

2)Использовать Flashcookie (как - то)

Как еще можно реализовать такое хранение и такую задачу???
Заранее спасибо.

[alemiks]

web-сервис сторонний или самописный?

[Сергей29]

сервис свой

(записывать туда логин и пароль) по идентификатору куки?

[alemiks]

Цитата:

Сообщение от Сергей29

сервис свой

(записывать туда логин и пароль) по идентификатору куки?

А логины/пароли на стороне сервиса где хранятся?
Логин/пароль однозначно нельзя хранить в куках. При авторизации сервис выдает токен, его и хранить. При повторном обращении передаём токен. Токен сделать живущим в течение сессии (до закрытия браузера).

[anadonam]

Сергей29, в куках храни идентификатор юзера (но не логин, самое простое это уник цифра, которую не знает даже сам юзер но по которой идентифицируется акканут юзера) а проверка идентификатора идет в сессии в ходе работы сайта по нему и ориентируется для кого что загружать на сайте.

логин и пароь - это для юзера, а ты оперируй этим идетификатором - сессия получает его раз когда юзер вошел на сайт (или через куки или через "кнопку вход") а потом с ним и работает пока стоит сессия. и всё нормально будет в плане защиты (но дальше уж можно и самому додумать если нужна сильная защита в этом плане)


id - log - pas

0 - admin - 123
1 - вася - 1234
2 - dimon - qwerty
------------------------

более сложный случай:

w1ew232323- василий петрович - herugadaish
1sdfsdfsd 4 - геннадич петя - moipassal

[AlexanderSergeev]

Нуда...варианты есть..не один точно. а вот про то, что в куках незя хранить - эт верно..сам посуди, а мало ли что, и откуда взять эти логины пасы потом)

[a_drew]

Вопрос. А если у вас на сервере не хранится связка логин/пароль, то как вы ее вообще используете? В смысле как пользователь проходит аутентификация? С чем сравнивается его пароль?
Если у вас нет возможности использовать mysql посмотрите в сторону sql lite или чего-то типа такого. Но опять же будьте аккуратны с хранением паролей.
Как вариант на стороне клиента можно хранить не зашифрованный пароль, а хэш от объединенных вместе логин+пароль+соль (salt которая).
К сожалению вы слишком расплывчато описали, что конкретно вам нужно сделать (насколько длинная сессия, насколько критичны данные, для чего авторизация и т.д.) поэтому чего-то более конкретного посоветовать очень сложно.

как вариант еще можно попробовать поработать с http://samy.pl/evercookie/
Но лучше подробно опишите, что вам нужно сделать, тогда будет намного проще посоветовать вам что-то конкретное.

[DRON-ANARCHY]

a_drew, да там в куки можно чо угодно запихать, захешировав, как бог на душу положит. Хоть md5(md5($pass)). Уже хрен кто раскусит.
В общем, тоже не пойму проблему.

[Сергей29]

Цитата:

Сообщение от a_drew

Вопрос. А если у вас на сервере не хранится связка логин/пароль, то как вы ее вообще используете? В смысле как пользователь проходит аутентификация? С чем сравнивается его пароль?

soapclient отправляет логин и пароль с "формы" web - сервису там они сравниваются и ответ от сервиса серверу уходит обратно.

[a_drew]

Вообще, если сервис поддерживает аутентификацию, то он должен возвращать токен для пользователя, который потом и надо передавать сервису. Ну собственно это и будет тот самый SESSION_ID.
Если сервис ничего не возвращает, то это какой-то весьма странный сервис. На мой взгляд, в этом случае хранение пароля на стороне клиента или сервера зависит от того, на кого вы хотите взвалить ответственность за кражу пароля.
Если этот сервис — доступ к данным банковской карты, то лучше написать им на саппорт. Если нет, то просто добавляете к логину и паролю какую-то достаточно длинную соль и шифруете, скажем, 1000 раз с каким-нибудь длинным паролем и сохраняете в куки. Про выбор алгоритма, соли и количества итераций в интернете куча статей. Взять тот же пароль от wifi для примера.

[Spectator]

Цитата:

Сообщение от Сергей29

Как еще можно реализовать такое хранение и такую задачу???
Заранее спасибо.

Никак. Нужен мускул (MySQL), всё остальное - решения через жопу. Можно, конечно, на ПыХаПы организовать нечто вроде простенькой СУБД для хранения паролей, но без ума и знаний она навернется скорее раньше чем позже.
Кабы те знания у Вас были - не спрашивали бы.

[a_drew]

тогда уж наверное SQLight, если нет технической возможности развернуть полноценный MySQL.

[Dark_Dante]

А файлом обойтись никак?

Я конечно не специалист... Но если сделать так

Код:

$login=$_POST['login'];
$pass=md5($_POST['pass']);
//собираем строку
$str=$login.'|'.$pass;
file_put_contents("file.txt", $str, FILE_APPEND);

Потом считываем из файла значения в массив, выбираем из массива нужного юзера с нужным хэшем, проверяем совпадение хэша и делаем сессию

[silly]

Ну, как бы, зачем делать все через жопу, если можно сделать нормально? Правда же? Вы, кстати, с файлами тоже работаете неоптимально, здесь подошли бы функции serialize/unserialize.

[Dark_Dante]

Да я не спорю. Я пхп знаю поверхностно, но просто если нет базы данных то как выход хранить в файлах. К тому же там выше была идея хранить в куках... а если у юзера отключены куки?

[silly]

Не стоит решать задачу, которую никто не ставил: про отсутствие бд никто на самом деле не заявлял, это все предположения.

Код:

$login=$_POST['login'];
$pass=md5($_POST['pass']);
//собираем строку
$str=$login.'|'.$pass;
file_put_contents("file.txt", $str, FILE_APPEND);

Забыл написать изначально, кроме serialize/unserialize нужны еще блокировки.

Цитата:

Сообщение от Dark_Dante

К тому же там выше была идея хранить в куках... а если у юзера отключены куки?

1. Глупая идея.
2. Без кук сессии не работают. Нет возможности отличать пользователей друг от друга. Раньше еще практиковалось указание идентификаторов сессий в ссылках, но это время прошло.

[a_drew]

Цитата:

Не стоит решать задачу, которую никто не ставил: про отсутствие бд никто на самом деле не заявлял, это все предположения.

Цитата:

У меня нет возможности создать базу типа MySql с логином и паролем и по идентификатору в куках высовывать из базы пароль.

и SQLight и так хранит все в файлах. Или вы хотите переписать SQLight?

[silly]

Если это мне вопрос, то я очень люблю sqlite на самом деле.

[silly]

Цитата:

Сообщение от Сергей29

сервис свой

(записывать туда логин и пароль) по идентификатору куки?

И там тоже нет mysql? А?

А то тут некоторые считают, что я невнимательно тему прочитал…

[a_drew]

silly, прошу прощения, вопрос был к Dark_Dante, который хочет самостоятельно реализовать сохранение данных а файл.

И видимо тему невнимательно прочитал я. Не заметил про то, что сервис свой. Если он свой, то он работает неправильно, т.к. должен возвращать токен сессии, о котором я писал выше. И тогда автоматически отпадают все проблемы с хранением пароля.