|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
всем доброго! по кейсу при регистрации чел сначала вводит свои персональные данные и потом логин пароль вот только эти две моменты в разных окнах происходит, при этом для перехода второе окно введенные данные записываются в БД + не только то что ввел но и собираются из разных источников (ну это не суть), и потом отправляется смс код для подтверждение номера телефона (в этом случае статус пользователя будет РЕГИСТРАЦИЯ_НЕ_ЗАВЕРШЕНА) и после этого осуществляется переход на окно ввода логина пароля... собственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль? З.Ы. да можно в сторедже браузера хранить предыдущие введенные данные пользователя и отправить все, но никому не секрет этих данных можно изменить при отправке тогда... ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:02 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, для идентификации существует id сессии. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:15 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
вадя, веб ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:16 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
почему то думал при удачной завершении первой страницы клиенту отправить некий токен (где время жизни скажем 3 минуты) чтоб тот в хидере отправлял с логином и паролем и по токену нашел кому это принадлежит... ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:23 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, какая-то странная логика ввода. почему нельзя все вводить? ну и после вода каждого поля отправлять введенное на сервер? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:34 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, Почему два окна? Почему при РЕГИСТРАЦИИ какой то пароль? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 15:52 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
ну изначально так утвердили первое окно: номер персональной карты номер телефона эмейл далее в бэке сбор данных и отправка смс с кодом для верификации введенного номера первой же окне ввод номера и кнопка далее (для перехода но второе окно) во второй окне полученные данные из сервера по персональной карте (это для информации типа все верно или нет чел может посмотреть) и ввод логина и пароли после кнопка завершение регистрации и в бэке уже имеющемуся юзеру логин и пароль + изменение статуса на РЕГИСТРИРОВАН ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:00 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку. Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД. Вот тут уже было обсуждение HTTP сессий более детально . ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:02 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку. Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД. все верно но тут как видите данные отправляются порционно, юзер создается юзер обновляется... ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:06 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль. Так? Далее ОН САМ меняет пароль когда захочет. Зачем усложнять? Чтобы дырка в безопасности была? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:10 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Музаффар, Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль. Так? Далее ОН САМ меняет пароль когда захочет. Зачем усложнять? Чтобы дырка в безопасности была? не совсем первом окне Код: plsql 1. 2. 3. 4.
только при завершении этапа регистрации Код: plsql 1. 2. 3. 4. 5.
ну если захочет то когда зайдет в систему может менять пароль но сейчас речь не об этом. в том то и дело чтоб избежать от дыр, обратился в форум. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:31 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, у тебя есть idсессии . вот к нему и привяжи все параметры ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:40 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, Ты не понял? Одна дыра когда ты делаешь лишние действия. Можно без них? Можно! Вторая дыра переход по окнам. Можно без них? Можно карл! Итого минус один бал за окна и минус один за ввод логина. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:43 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
вадя Музаффар, у тебя есть idсессии . вот к нему и привяжи все параметры То есть работать будет. Но безопасность ниже. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:45 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
PetroNotC Sharp, со всеми этими утверждениями я согласен, но по ТЗ так должно быть. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:47 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, попробуй обосновать дыру в тз может изменят тз ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:49 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар PetroNotC Sharp, со всеми этими утверждениями я согласен, но по ТЗ так должно быть. Уже кое что. Хотя бы понимание есть. Как вы потом в работе отличаете юзверей при переходе по окнам? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 16:51 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
PetroNotC Sharp, в смысле, то кому принадлежит тот или иной логин/пароль? или то то другое подразумевается? вадя, возможно, я об этом говорил пока тишина ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 17:04 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, Ну, у тебя вопрос выше - авторсобственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль? После регистрации как определяете? Из пятого окна что ходит Петров? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 17:14 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Получается так: - более безопасно без переходов так как до аутентификации механизм безопасного перехода по окнам еще не создан. Непонятно кто ходит по окнам. - если плюнуть на безопасность то маркер любой - куки/id session/в урле дописать что это вася и т.д. Удачи! ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 17:24 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
PetroNotC Sharp, как я понимаю, после верификации телефона, в браузер отправится номер_карты, а браузер откроет второе окно, далее логин/пароль + номер_карты отправляет в бэк тот уже по номеру карты идентифицирует кому принадлежит логин/пароль З.Ы. понимаю это дыра, типа можно при отправке логина/пароля + (можно другой номер_карты) и тогда получится у кого та логин/пароль меняется... вот изза этой возможной дыры писал сюда ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 17:33 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, Есть всего два, три метода в мире при переходах по окнам - сессия сервера - токен в хидере - токен в урле - токен в куке Все вроде. Мы даже не знаем что у тебя применяется. Второй момент почему либа не используется? Все руками? ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 17:42 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
PetroNotC Sharp, так вышеперечисленные метода актуальны после авторизации как я понимаю правильно? когда залогинился все через jwt идет но тут до этого же ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 18:58 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар, при регистрации самое удобное, когда юзер вводит все параметры в одной странице. при этом при вводе телефона, мыла, логина происходит их отправка на сервер для проверки на дубли. после ввода отправка на сервер команды о готовности данных, сервер отправляет смс, юзер вводит код из смс и только тогда всё отправляется на сервер. если смс не совпадает возврат клиенту.... при этом снимаются все твои проблемы. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 22:02 |
|
безопасть в регистрации в системе
|
|||
---|---|---|---|
#18+
Музаффар PetroNotC Sharp, так вышеперечисленные метода актуальны после авторизации как я понимаю правильно? когда залогинился все через jwt идет но тут до этого же Теперь при переходах ты должен придумать свой токен что чревато и велосипедно ... |
|||
:
Нравится:
Не нравится:
|
|||
14.08.2021, 22:30 |
|
|
start [/forum/topic.php?fid=59&msg=40090742&tid=2120375]: |
0ms |
get settings: |
18ms |
get forum list: |
5ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
38ms |
get topic data: |
3ms |
get forum data: |
1ms |
get page messages: |
396ms |
get tp. blocked users: |
0ms |
others: | 377ms |
total: | 840ms |
0 / 0 |