Uwierzytelnianie użytkownika w PHP

Question

Witam, mam pytanie odnośnie weryfikacji użytkownika. Ja sobie wyobrażam to tak:

- Użytkownik wpisuje login i hasło

- Wpisany login i hasło są porównywane z danymi z bazy danych

- Jeśli wszystko się zgadza to login i id umieszczane są w zmiennej sesyjnej.

Nie do końca mam pewność czy tak powinno się to odbywać. Jeśli jest lepszy i bezpieczniejszy sposób to prosiłbym o wskazówki.

Answer 1

Ogólnie może być, ale diabeł tkwi w szczegółach.

Jedynie unikał bym trzymania danych w sesji. Lepiej zapisać id sesji w pliku cookie oraz w bazie danych.

Co do szczegółów:

Trzeba pamiętać o walidacji danych w formularzu.

Protokół SSL mile widziany

Wysyłać tylko metodą POST

Hasła w bazie danych powinny być hashowane

Dodatkowo najlepiej przechowywać w bazie hasło i login w formie zaszyfrowanej

Identyfikator sesji powinien mieć datę ważności

Ochrona przed CSFR

Bezpieczna możliwość przywracania hasła

Pliki cookie z flagami httponly i najlepiej  z secure

Zabezpieczenie formularza przed atakiem słownikowym, najlepiej ograniczyć liczbę prób w danym przedziale czasowym

Jak bezpieczeństwo jest ważne warto też zastosować logowanie za pomocą kodu sms. Watro też pamiętać o rejestracji kont:

Minimalna długość hasła, im dłuższe tym lepiej

Sprawdzanie czy dany login i hasło są zajęte

Aktywacja konta za pomocą email

Hasło nigdy nie powinno być emailem

Przy tworzeniu użytkownika nadać unikalny id dla tego użytkownika, powinien to być ciąg losowy a nie kolejne liczby typu: id 1, id 2 itp.

Comments

A dlaczego nie kolejne liczby? To najbardziej unikalne id.

---

https://owasp.org/www-chapter-ghana/assets/slides/IDOR.pdf

---

To dalej kolejne liczby, tylko zahashowane.

---

@JakSky, Mam, m. in. SSL, csrf, hash, przesyłanie przez POST. Ale o losowym id nie myślałem. Dzięki za sugestie.

---

https://github.com/ramsey/uuid

Answer 2

Osobiście polecił bym Ci kurs Pana Mirosława Zelenta.
https://www.youtube.com/watch?v=Pp578w7C9hE
Tam znajdziesz to czego potrzebujesz.

Comments

Dzięki, oglądałem już go kilka lat temu i z tego co pamiętam to pomysł na logowanie w filmie jest niemalże identyczny do mojego, no chyba że źle pamiętam.

---

Może warto by sobie odświeżyć. Moim zdaniem lepiej nie umieszczać loginu i id w sesji. Lepszym rozwiązaniem jest stworzenie zmiennej (oczywiście w sesji), która będzie informować o tym czy w ogóle ktoś jesteś zalogowany czy nie.

---

Ok, ale u mnie id i login w sesji jest tak naprawdę potrzebny tylko do wyświetlania informacji w interfejsie, typu zalogowany/niezalogowany, a przy każdej akcji która wymaga bycia zalogowanym sprawdzam z bazą danych czy się wszystko zgadza.

---

Może Ci napiszę jak to wygląda u mnie.
Wpierw użytkownik podaje login i hasło, a potem dane ze zmiennej POST są sprawdzane z bazą danych. Oczywiście jak nie znasz hasła to nie wejdziesz na stronę (u mnie nie ma takiej opcji, żeby wejść na stronę jako gość, ponieważ jest to strona dla określonych osób).
Po prawidłowym zalogowaniu wczytuje do sesji "nick użytkownika", uprawnienia oraz zmienną z informacją o zalogowaniu użytkownika, a potem dostaje się na stronę główną i jestem przywitany przez stronę (Witaj, "nick użytkownika").
Oprócz tego każdy użytkownik posiada swoje uprawnienia: superadmin, admin lub user i w zależności od tych uprawnień ma lub nie ma do pewnych rzeczy dostępu.
Każde strony i podstrony są zabezpieczone przed bezpośrednim wejściem bez logowania oraz, gdy użytkownik nie ma do tego uprawnień.

---

Dzięki za komentarz, u mnie wygląda to identycznie z tym, że jeszcze używam token uwierzytelniający aby połączenie się ze strona było niemożliwe przez zewnętrzny formularz.