1
תגובות

משתמשים ב-Yii

פתח Bogutachi ,
בניתי את מערכת המשתמשים שלי באתר איך שנהוג לעשות את זה ב-Yii (עם המחלקות CWebUser ו- CUserIdentity).
עכשיו שמתי לב שהאיידי והיוזר ניים של מי שמחובר למשתמש נשמרים בסשן, וככה המערכת יודעת מי המשתמש. הבעיה שאני חושש מהסיכוי הקטן שמישהו יצליח לעלות על סשן של משתמש אחר, וככה הוא יוכל להתחבר אליו. והסיכוי עולה ככל שהאתר גדל.
אז רציתי לשאול, להשאיר את זה כך, או שעדיף לעשות משהו יותר מאובטח?
חשבתי על שברגע שמשתמש מתחבר, זה שומר לו בקוקי את האיידי שלו + טוקן, משהו שיראה ככה:
4524-d5470a5f81733d9a029c48267641e490af0f7003c1d4477babb9f4b368ea512b
ובכל עמוד שהגולש יכנס אליו זה יבדוק את האיידי + הטוקן מול המסד נתונים ולפי זה ידע מי המשתמש.
השאלה האם עדיף לעשות את זה? ואיך אני מתכנן את זה עם Yii?
כלומר, אני מניח שזה ידרוש לשנות את המחלקות CWebUser ו- CUserIdentity באופן משמעותי, לא? אז אולי עדיף כבר לשכוח מהן ולעשות מחלקות משלי?
תודה על העזרה :)

1 תשובות

avatar ענה intval ב 12 לאוגוסט 2014 #

זה מספיק מאובטח. הסיכוי להעלות (או לנחש רצף של 32 תווים ואותיות די קטן 36 ^ 32 ) וגם אם תצליח לנחש אחד קיים, yii משייכת אותו ל IP מסוים.