👌🏽 👓 😥 अंदर आओ! लॉगिन और पासवर्ड के बिना प्रमाणीकरण, "मुझे याद रखें" 🎸 👩🏽‍🤝‍👨🏼 🍍

चूंकि हमने इस विषय को उठाया है, इसलिए मैं याद रखना चाहता हूं कि मानक याद रखने वाले फ़ंक्शन के कार्यान्वयन में सुधार कैसे किया जाए।

पहले प्रस्तावित दोनों विकल्प एक महत्वपूर्ण बिंदु को ध्यान में नहीं रखते हैं, अगर टोकन चोरी हो जाता है तो क्या होगा? प्रमाणीकरण के सामान्य कार्यान्वयन में मुझे याद रखें टोकन के माध्यम से, हमलावर को ऐसा टोकन प्राप्त हुआ है, जो असीमित समय तक साइट तक पहुंच प्राप्त करेगा, और पीड़ित को चोरी के बारे में पता भी नहीं चलेगा ...

क्या करें?

बैरी जैसपैन ने एक बेहतर याद रखने वाला प्रमाणीकरण विकल्प प्रस्तावित किया है।

संक्षेप में, एक और प्रकार का टोकन जोड़ा जाता है - श्रृंखला। आपको इसे यादृच्छिक रूप से उत्पन्न करने की आवश्यकता है, आप एक नियमित टोकन के रूप में कर सकते हैं। इसके और टोकन के बीच मुख्य अंतर यह है कि यह टोकन के माध्यम से सफल प्रमाणीकरण के बाद नहीं बदलता है।

जर्कम से उदाहरण कोड :

भंडारण तालिका:

CREATE TABLE test.one_time_auth( token CHAR (32), series CHAR (32), user_id INT (11) UNSIGNED NOT NULL, expire DATETIME DEFAULT NULL, PRIMARY KEY (series) ) ENGINE = INNODB

और एक उदाहरण के साथ एक वर्ग

 <?php $db = new PDO('mysql:host=127.0.0.1;dbname=test', 'root', ''); $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $auth = new one_time_auth($db); list($token, $series) = $auth->remember(10, null, '2010-12-31'); $user_id = $auth->remind($token, $series); list($token, $series) = $auth->remember(10, $series, '2010-12-31'); $user_id = $auth->remind($token, $series); echo $user_id; list($token, $series) = $auth->remember(10, $series, '2010-12-31'); try { $user_id = $auth->remind('wrongone', $series); } catch (ThiefAssumedException $e) { echo 'We think your cookie was stolen. Please, log in again.'; } $user_id = $auth->remind('wrongone', 'wrongone'); // do nothing class ThiefAssumedException extends Exception {} class one_time_auth { /** * @var PDO */ private $db; public function __construct(PDO $db) { $this->db = $db; } public function remember($user_id, $series = null, $expire = null) { $sql = 'INSERT INTO one_time_auth (token, series, user_id, expire) VALUES (:token, :series, :user_id, :expire)'; $stmt = $this->db->prepare($sql); while (true) { try { $stmt->execute(array( ':token' => $token = $this->generateToken(), ':series' => $series = $series == null ? $this->generateToken() : $series, 'user_id' => $user_id, 'expire' => $expire )); break; } catch (PDOException $e) {} } return array($token, $series); } public function remind($token, $series) { $sql = 'SELECT user_id, token FROM one_time_auth WHERE series = :series AND (expire IS NULL OR expire >= NOW()) LIMIT 1'; $stmt = $this->db->prepare($sql); $stmt->execute(array('series' => $series)); if ($row = $stmt->fetch()) { if ($row['token'] != $token) { $stmt = $this->db->prepare('DELETE FROM one_time_auth WHERE user_id = :user_id'); $stmt->execute(array('user_id' => $row['user_id'])); throw new ThiefAssumedException(); } $stmt = $this->db->prepare('DELETE FROM one_time_auth WHERE series = :series'); $stmt->execute(array('series' => $series)); return $row['user_id']; } } private function generateToken() { return md5(uniqid('', true)); } }

यह कैसे काम करता है?

उपयोगकर्ता के पास टोकन और श्रृंखला कुकीज़ में संग्रहीत होती है, स्क्रिप्ट उनकी तुलना डेटाबेस में प्रदान किए गए लोगों के साथ करती है। यदि वे मेल खाते हैं, तो प्रमाणीकरण सफल होता है। उपयोगकर्ता को पिछली श्रृंखला के साथ एक नया टोकन मिलता है। यदि टोकन अलग है और श्रृंखला समान है, तो हम इस खाते के लिए सभी याद रखने वाली प्रविष्टियों को हटा देते हैं और उपयोगकर्ता को सूचित करते हैं कि, शायद, उसका टोकन चोरी हो गया था।

पीएस: यह एक तैयार समाधान नहीं है, लेकिन एक उदाहरण है।

अंदर आओ! लॉगिन और पासवर्ड के बिना प्रमाणीकरण, "मुझे याद रखें"

क्या करें?

यह कैसे काम करता है?

More articles: