Techniky autentifikace

Lol Phirae

Re:Techniky autentifikace
« Odpověď #15 kdy: 13. 08. 2018, 13:58:15 »
anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani)))))

Jseš to ty?  ;D ;D ;D


j

Re:Techniky autentifikace
« Odpověď #16 kdy: 13. 08. 2018, 13:59:32 »
Ctrl+Shift+Del, Clear Active Logins. Ano, odhlásí to všechny weby najednou.
To ze ja a ty vime jak odhlasit session ze strany browseru je ale na dve veci, kdyz potrebujes zaridit odhlaseni na strane serveru ... jo, taky na to existuje postup ... ze "prej" kdyz se petkrat uklonis a zariznes slepici ... a pak browseru posles 401 ... tak to odhlasi ... coz je chovani ovsem nikde nezdokumentovany a nijak nestandardizovany.

fish

Re:Techniky autentifikace
« Odpověď #17 kdy: 13. 08. 2018, 13:59:57 »
Pokud se jedná o PHP je nejjednodušší a díky použití BCrypt dostatečně bezpečné využití stadnardní funkce password_hash:
http://php.net/manual/en/function.password-hash.php.

ttxx

Re:Techniky autentifikace
« Odpověď #18 kdy: 13. 08. 2018, 14:03:10 »
anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani)))))

Jseš to ty?  ;D ;D ;D

ja ne ))) pokud se nemeni soustava bitova a ta nesifruje tak to pro mne neni sifrovani)))

robin martinez

  • *****
  • 1 138
  • Have you hugged your toilet today?
    • Zobrazit profil
    • Null Storage
    • E-mail
Re:Techniky autentifikace
« Odpověď #19 kdy: 13. 08. 2018, 14:16:31 »
doporucoval bych taktiku, kterou pouziva treba ejabberd - ukladej hesla plaintextem. Pecka jak nikdy. Dodnes nepochopim, o co jim jde...
One machine can do the work of fifty ordinary men. No machine can do the work of one extraordinary man.

I do Linux, Hardware and spaghetti code in PHP, Python and JavaScript


anonym

Re:Techniky autentifikace
« Odpověď #20 kdy: 13. 08. 2018, 14:30:31 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

ttxx

Re:Techniky autentifikace
« Odpověď #21 kdy: 13. 08. 2018, 14:41:10 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

ja ti navrhuju reseni bez frameworku)) daj email adresu))

robin martinez

  • *****
  • 1 138
  • Have you hugged your toilet today?
    • Zobrazit profil
    • Null Storage
    • E-mail
Re:Techniky autentifikace
« Odpověď #22 kdy: 13. 08. 2018, 14:42:12 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

A co kdybys nam oznamil, o co ti vlastne jde? Jak uz nekdo rikal, znovuvynalezas tu kolo - a to pomerne dost spatne. Pokud ti jde o ukladani hesel - hash, v PHP treba bcrypt (blowfish). Javascriptem posilat heslo jak? Pri registraci? Normalne POSTem pres HTTPS, proc bys to delal jinak? Nebo snad pri prihlaseni? Mame JWT tokeny, taky pres HTTPS. Ja fakt netusim, proc ma kazdej druhej tendenci myslet si, ze vsechno dokaze udelat lip nez jak se to pouziva.
One machine can do the work of fifty ordinary men. No machine can do the work of one extraordinary man.

I do Linux, Hardware and spaghetti code in PHP, Python and JavaScript

ttxx

Re:Techniky autentifikace
« Odpověď #23 kdy: 13. 08. 2018, 15:04:56 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

ja ti navrhuju reseni bez frameworku)) daj email adresu))

anonym: takze reknu tak pokud chces reseni ja mam sifrovaci + sifrovane hash funkce)) zadnej framework... (nejsem lopata co kopiruje a pouziva framework jde x chyba na milion pouziti))))

anonym

Re:Techniky autentifikace
« Odpověď #24 kdy: 13. 08. 2018, 15:07:18 »
Ok, takže používám Servlet API v Javě a chci si udělat autentifikaci a autorizaci. Neobjevuju kolo, Servlety jsou snad normální věc. Umožňují mi uložit si Session - nevím jak, prostě to mají zmáknuté.

Pointa je, že používám čistě Servlety bez frameworku typu Spring a Javy EE. No a chci si udělat přihlašování.

Takže něco jako je toto:

Kód: [Vybrat]
    public static boolean authenticate(String username, String password) {
        if (username.isEmpty() || password.isEmpty()) {
            return false;
        }
        User user = userDao.getUserByUsername(username);
        if (user == null) {
            return false;
        }
        String hashedPassword = BCrypt.hashpw(password, user.getSalt());
        return hashedPassword.equals(user.getHashedPassword());
    }

Kód: [Vybrat]
    public static Route handleLoginPost = (Request request, Response response) -> {
        Map<String, Object> model = new HashMap<>();
        if (!UserController.authenticate(getQueryUsername(request), getQueryPassword(request))) {
            model.put("authenticationFailed", true);
            return ViewUtil.render(request, model, Path.Template.LOGIN);
        }
        model.put("authenticationSucceeded", true);
        request.session().attribute("currentUser", getQueryUsername(request));
        if (getQueryLoginRedirect(request) != null) {
            response.redirect(getQueryLoginRedirect(request));
        }
        return ViewUtil.render(request, model, Path.Template.LOGIN);
    };

Jak je vidět, je to v principu velice jednoduché. Nicméně třeba takový Spring Security je několika-megabajtová hydra.

Proto mě zajímá problematika autentifikace. Chci si ujasnit, jestli je pro 9/10 případů v pořádku použít jednoduchý způsob autentifikace, a nebo je třeba vymýšlet nějaké další složitosti.

Nedělám SW pro banku dpč.

anonym

Re:Techniky autentifikace
« Odpověď #25 kdy: 13. 08. 2018, 15:09:16 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

ja ti navrhuju reseni bez frameworku)) daj email adresu))

nemůžu ti dát email, já jsem anonym. Napiš to tady.

ttxx

Re:Techniky autentifikace
« Odpověď #26 kdy: 13. 08. 2018, 15:51:05 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

ja ti navrhuju reseni bez frameworku)) daj email adresu))

nemůžu ti dát email, já jsem anonym. Napiš to tady.

to by pak sifrovani postradalo smysl)) pointa source code je mit ho uzamcene na webservru)) bez pristupu jinejch)) no jak chces))

Stefan

Re:Techniky autentifikace
« Odpověď #27 kdy: 13. 08. 2018, 16:03:35 »
Citace
Umožňují mi uložit si Session - nevím jak, prostě to mají zmáknuté.
už tohle mluví za vše.
Jinak "JAVA Servlet specification http://download.oracle.com/otndocs/jcp/servlet-4-final-spec/index.html" jasně říká jak se řeší zabezpečení viz. kapitola 13.1. Dále se také v kapitole 7.1 dozvíš jak fungují session a po přečtení zjistíš co všechno si vlatně evidentně nevěděl. Takové studium posune tvojí práci daleko dopředu. Má to pár stránek, ale hodně to pomůže.

Stefan

anonym

Re:Techniky autentifikace
« Odpověď #28 kdy: 13. 08. 2018, 16:14:58 »
Citace
Umožňují mi uložit si Session - nevím jak, prostě to mají zmáknuté.
už tohle mluví za vše.
Jinak "JAVA Servlet specification http://download.oracle.com/otndocs/jcp/servlet-4-final-spec/index.html" jasně říká jak se řeší zabezpečení viz. kapitola 13.1. Dále se také v kapitole 7.1 dozvíš jak fungují session a po přečtení zjistíš co všechno si vlatně evidentně nevěděl. Takové studium posune tvojí práci daleko dopředu. Má to pár stránek, ale hodně to pomůže.

Stefan

Budes se divit, ale ja to o Session uz davno cetl. Mam predstavu jak funguje, ale nevim to presne.

O

Re:Techniky autentifikace
« Odpověď #29 kdy: 13. 08. 2018, 16:31:52 »
Takže jste se tady zmohli jen na to se vysmát a přesměrovat na existující framework. Bez jakéhokoliv hlubšího vhledu do problematiky.

Hlubší vhled do problematiky na fóru? K tomu tyhle diskuse fakt neslouží. Začni tím, že si k tomu dohledáš nějaké pořádné ucelené informace a nastuduješ si je. A pak tady diskutuj o konkrétních detailech, ne že přijdeš stylem "chci postavit barák, mám pytel cementu a lopatu, poraďte mi, jak na to".