ReSQL.ru
     
powered by simpleCommunicator - 2.0.60     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / запрет одновременного входа в админку под одним и тем же логином/паролем
27 сообщений из 27, показаны все 2 страниц
  все  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547482
Фотография meg17m
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
meg17m
Участник
есть некая админка. доступ к ней платный. допустим, у неё 1000 пользователей и у каждого свой логин/пароль. как сделать так, что если в данный момент времени кто-то авторизирован под логином/паролем log1/pass1, то больше никто не сможет под ним зайти в этот момент времени (пока активна сессия авторизации у первого пользователя) ни с другого компьютера, ни с этого же компьютера но с другого браузера? как только пользователь разлогинивается или просто выключает компьютер или закрывает браузер то сессия должна сбрасываться и любой другой человек сможет зайти под log1/pass1. как только он зашел, опять ставится запрет на вход любого другого человека под этой парой логин/пароль. и т.д.
это нужно, чтобы не передавали свои пароли и логины 3-им лицам(своим друзьям).
...
Рейтинг: 0 / 0
03.02.2014, 17:39
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547491
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
MegaLasta,

Третьим, или вторым лицам?
Короче, не в ту сторону копаете, товарищ.
...
Рейтинг: 0 / 0
03.02.2014, 17:47
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547573
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
MegaLastaкак только пользователь разлогинивается или просто выключает компьютер или закрывает браузер то сессия должна сбрасыватьсяНасчет разлогинился - нет проблем. А вот со всем остальным - есть. Забыли еще "ой, ляктричество моргуло и комп перезагрузился" и "блин, браузер сломался - зайду с другого" - пользователь идет лесом по Вашему алгоритму.
...
Рейтинг: 0 / 0
03.02.2014, 18:32
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547588
Фотография ScareCrow
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ScareCrow
Участник
да иа тупо с и компа и телефона не зайдешь.
...
Рейтинг: 0 / 0
03.02.2014, 18:39
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547600
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
Как вариант, при входе с одного устройства обрывать все остальные сессии. Для одно пользователя это может быть вполне приемлемо (а может и не очень), но "услуги" друзей по обрыву его сессий он уж явно не одобрит.
...
Рейтинг: 0 / 0
03.02.2014, 18:45
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547643
artas
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
artas
Участник
MegaLasta,
тут по моему классика, открывать сессию на N минут, и обновлять ее ежеминутным запросом. Если в течении N минут не пришел запрос, то соответсвеноо сессия сносится и другой юзер может зайти
...
Рейтинг: 0 / 0
03.02.2014, 19:13
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547811
Фотография meg17m
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
meg17m
Участник
artasMegaLasta,
обновлять ее ежеминутным запросом
Это на аяксе что-ли? А если клиент умный и зайдет через Ф12... или у него просто не поддерживается js?
...
Рейтинг: 0 / 0
03.02.2014, 22:02
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38547819
Arhat109
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Arhat109
Участник
MegaLasta,

если js-ом поопрашивать браузер, приплюсовать куки и IP в придачу, можно получить достаточно уникальный хеш для данного сеанса работы. Плюс разумный тайм-аут на молчание в сеансе... нет?
...
Рейтинг: 0 / 0
03.02.2014, 22:13
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549154
artas
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
artas
Участник
MegaLastaartasMegaLasta,
обновлять ее ежеминутным запросом
Это на аяксе что-ли? А если клиент умный и зайдет через Ф12... или у него просто не поддерживается js?
и что ? ну отключит он опрос и сессия умрет, а без js в наше время никуда(как вариант флеш, но тоже можно вырубить)
...
Рейтинг: 0 / 0
04.02.2014, 18:06
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549163
artas
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
artas
Участник
Arhat109MegaLasta,

если js-ом поопрашивать браузер
чО ?
...
Рейтинг: 0 / 0
04.02.2014, 18:10
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549293
phpz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
phpz
Гость
Если например скрипт keep-alive.php отвечает за поддержку сессии, то достаточно просто посылать на него HEAD-запрос через определенный промежуток времени. Тут и трафик экономится и ждать ответа не надо и т.д.
...
Рейтинг: 0 / 0
04.02.2014, 19:24
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549316
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
Привязывать сессию к айпи и разрешать не больше 1 сессии
...
Рейтинг: 0 / 0
04.02.2014, 19:50
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549387
Фотография asws
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
asws
Участник
vkleКак вариант, при входе с одного устройства обрывать все остальные сессии. Для одно пользователя это может быть вполне приемлемо (а может и не очень), но "услуги" друзей по обрыву его сессий он уж явно не одобрит.имхо самый лучший вариант.

Можно делать так:

В таблице хранятся хеши логин+пароль для всех зарегистрированных пользователей.
При авторизации создаётся хеш сеанса работы (из IP, User-Agent, хеша логина-пароля), пишется в таблицу и в куки посетителя.

При каждом запросе ищется присланный в куках хеш сеанса работы - если не найден - новая авторизация,
если найден - его проверка - сверка с генерируемым по текущим данным (IP,User-Agent,хеш логина-пароля),
если не совпал (изменился IP или User-Agent), значит новая авторизация.

Понятно, что потеря кук не страшна, так как хеш привязан к IP в том числе.
...
Рейтинг: 0 / 0
04.02.2014, 20:42
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549426
Фотография Black
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Black
Участник
Зачем делать проверку на user-agent, если его можно подставить?

На мой взгляд самое верное решение предложил Hett.
...
Рейтинг: 0 / 0
04.02.2014, 21:44
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549434
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
HettПривязывать сессию к айпи и разрешать не больше 1 сессииДля использования внутри локальной сети вполне может сгодиться, а для интернета с проксями и NAT'ами, скрывающими реальный адрес, как-то не очень. ИМХО конечно.
...
Рейтинг: 0 / 0
04.02.2014, 22:00
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549456
Фотография asws
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
asws
Участник
BlackЗачем делать проверку на user-agent, если его можно подставить?чтобы при параллельном заходе из другого браузера (или другого ПО), предыдущий хеш слетал, для дополнительной надёжности.
...
Рейтинг: 0 / 0
04.02.2014, 22:39
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549477
Фотография Black
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Black
Участник
aswsBlackЗачем делать проверку на user-agent, если его можно подставить?чтобы при параллельном заходе из другого браузера (или другого ПО), предыдущий хеш слетал, для дополнительной надёжности.
Я вам задаю вопрос, зачем привязываться к тому, что можно подменить?
...
Рейтинг: 0 / 0
04.02.2014, 23:06
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549497
Фотография asws
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
asws
Участник
Blackaswsпропущено...
чтобы при параллельном заходе из другого браузера (или другого ПО), предыдущий хеш слетал, для дополнительной надёжности.
Я вам задаю вопрос, зачем привязываться к тому, что можно подменить?
Незачем, если злоумышленник умеет и может его подменить.

Но, по моему мнению, можно и нужно. Постараюсь объяснить подробнее.

Основная привязка - это IP + логин-пароль, больше уникальных данных я не вижу.
Но я считаю нужным и полезным, для формирования хеша, добавить ещё ряд исходных данных, даже тех, что неуникальны.

Во-первых, так удобно будет мне, чтобы я случайно не работал с админкой в разных браузерах, и не возникли глюки при сохранении неактуальных данных
(в одном браузере при работе в нескольких вкладках можно отловить изменения данных и провести их синхронизацию).

Во-вторых, у друзей или коллег может быть общий IP, и при передаче логина-пароля другому,
есть вероятность, что не совпадут браузеры или версии ОС (те данные, что указаны в User-Agent).

Считайте, что User-Agent указан для примера, так как он влияет на конечный хеш,
а алгоритм его генерации неизвестен злоумышленнику, если там будет добавлен необязательный User-Agent, хуже не будет.
...
Рейтинг: 0 / 0
04.02.2014, 23:38
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549504
Фотография Black
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Black
Участник
asws...
Для дополнительного гемора взломщику, убедили, но автору в первом ответе, имхо, не мешало бы сразу дать понять, что это обходится умельцами...
...
Рейтинг: 0 / 0
04.02.2014, 23:54
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549546
Фотография Extremist
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Extremist
Участник
Пардон, а что мешает создать таблицу, которая сожержала колличество активных сессий по клиентам и при логине проверять ещё и её?
Правда есть необходимость ставить евент на покидание страницы, но думаю для вас это не должно стать проблемой в принципе.
Отюда правило юзерам- тока с яваскриптами и всем остальным, иначе- лесом.
...
Рейтинг: 0 / 0
05.02.2014, 01:07
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38549557
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
ExtremistПравда есть необходимость ставить евент на покидание страницы, но думаю для вас это не должно стать проблемой в принципе.А на пропадание ляктричества евент как поставить? ;-)

Не, только таймаут и контрольные пакеты.
...
Рейтинг: 0 / 0
05.02.2014, 01:26
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38550246
phpz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
phpz
Гость
vkle,

В корпоративных сетях большинство комьютеров абсолютно идентичны (ос, софт) и выход в сеть через прокси. Значит, если админка не в интрасети, то все выкрутасы с user-agent + IP не дадут должного результата. В куку придется еще и уникальное значение прописать, вот может с этого и надо было все начинать?!
...
Рейтинг: 0 / 0
05.02.2014, 14:05
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38550288
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
phpzВ корпоративных сетях большинство комьютеров абсолютно идентичны (ос, софт) и выход в сеть через прокси. Значит, если админка не в интрасети, то все выкрутасы с user-agent + IP не дадут должного результата.Ну дык и я об том же ж. Даже если и не полностью идентичны, то различить их группы (частично по набору ПО) можно будет только по редким отличиям в user-agent.
...
Рейтинг: 0 / 0
05.02.2014, 14:25
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38550933
Arhat109
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Arhat109
Участник
artasArhat109MegaLasta,

если js-ом поопрашивать браузер
чО ?

Ни "чО", а в учебник надо заглядывать "творчески", например в этот:

http://javascript.ru/forum/project/24996-opredelenie-tipa-brauzera-i-versii-po-vozmozhnostyam-brauzera-dvizhka.html

До кучки можно присовокупить и усер-агента и куку и много чего ишо. Сделайте от полученной в результе строки тот же md5 - и вот вам "уникальный" идент юзверя. :)
...
Рейтинг: 0 / 0
05.02.2014, 19:09
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38550949
Arhat109
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Arhat109
Участник
Ещё дополню таким объектом как Navigator, там тоже есть кое что полезное для вашей задачи... :)
...
Рейтинг: 0 / 0
05.02.2014, 19:20
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38550954
Arhat109
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Arhat109
Участник
Ещё дополню такими объектами как screen, history... :)
...
Рейтинг: 0 / 0
05.02.2014, 19:22
| Ответить | Цитировать | Написать  
запрет одновременного входа в админку под одним и тем же логином/паролем
    #38551095
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
[оффтопик]
Подумалось. В качестве нестандартного решения задачи виндовый "удаленный рабочий стол" тоже наверно подойдет. Висит себе сеанс на удаленной машине... Кто к сеансу подключился - того и одеяло.
Ну а пользователям разрешить подключаться к админке только с оной машины.
PS: про бюджет лучше не говорить, наверно :-)
[/оффтопик]
...
Рейтинг: 0 / 0
05.02.2014, 21:02
| Ответить | Цитировать | Написать  
27 сообщений из 27, показаны все 2 страниц
  все  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / запрет одновременного входа в админку под одним и тем же логином/паролем
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]