Всем привет. Я долгое время программировал на PHP и использовал Zend 1. Работал над крупным проектом платежной системы. Система авторизации подразумевала пользователей, их авторизацию и разделение по ролям. Разделение по ролям было довольно обширным и ветвистым. Вообще в большинстве проектов если уж требуется авторизация, то, наверняка, потребуется хотя бы минимальное разделение по ролям.
Совсем недавно я начал проект на Ruby и подыскивал гем для авторизации. Но толком так и не нашел красивого и четкого гема, реализующего разделения по ролям, а может плохо искал. Теперь хочу рассказать о своем методе решения этой проблемы.
Читать полностью »
Рубрика «авторизация» - 6
Простенькая реализация ролей на примере Ruby
2013-07-28 в 23:07, admin, рубрики: ruby, ruby on rails, авторизация, метки: авторизация, ролиПодводные камни использования сессий в PHP
2013-06-06 в 8:58, admin, рубрики: cookie, php, авторизация, аутентификация, Веб-разработка, идентификация, Программирование, сессии, метки: cookie, PHP, авторизация, аутентификация, идентификация, сессии 
Приветствую, уважаемое сообщество.
Прежде всего, хочу поблагодарить за очень полезный ресурс. Не раз находил здесь множество интересных идей и практических советов.
Цель этой статьи — осветить подводные камни использования сессий в PHP. Конечно, есть документация по PHP и масса примеров, и данная статья не претендует на полное руководство. Она призвана раскрыть некоторые ньюансы работы с сессиями и оградить разработчиков от ненужной траты времени.
Ким Дотком и двухфакторная авторизация
2013-05-23 в 14:51, admin, рубрики: авторизация, безопасность веб-приложений, информационная безопасность, Ким Дотком, патенты, метки: авторизация, безопасность веб-приложений, Ким Дотком, патентыКим Дотком, вероятно, окончательно разочаровался в мире: он решил поиграть в патентного тролля, и намекнул Google, Twitter, Citibank на то, что они нарушают его патент 16-летней давности, касающийся двухфакторной авторизации в аккаунте.
Google, Facebook, Twitter, Citibank, etc. offer Two-Step-Authentication.
Massive IP infringement by U.S. companies. My innovation. My patent
Действительно, патент, на который ссылается Дотком, заявка на который была подана в 1997-м году, и который был выдан в 1998-м, предусматривает в числе прочего последовательность автоматической авторизации в системе посредством ввода в форму дополнительных данных, полученных по дополнительному каналу связи — что, в целом, и составляет суть двухфакторки. Подробнее можно почитать здесь.
Самое забавное — это то, что последовало после изначального заявления: Дотком сначала заявил, что никогда и ни с кем не судился, но поскольку «нарушители» — американские компании, он готов сделать для них исключение, поскольку с ним судятся американские же власти; после этого он внезапно попросил у этих же компаний помощи — мол, «мы все в одной лодке, DMCA мешает нам всем, а меня ещё и посадить пытаются».Читать полностью »
Ненавязчивая авторизация
2013-05-22 в 16:01, admin, рубрики: fancybox, авторизация, Песочница, метки: fancybox, авторизация Цель данной статьи — рассказать об опыте организации максимальной простой и удобной с нашей точки зрения модели авторизации пользователей на сайте.
Читать полностью »
Двухфакторная авторизация на Citrix NetScaler
2013-04-12 в 9:07, admin, рубрики: etoken, netscaler, xendesktop, авторизация, виртуализация, ит-инфраструктура, системное администрирование, метки: etoken, netscaler, xendesktop, авторизация2х факторная аутентификация на NetScaler
Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.
Считаем, что уже есть:
-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер
Опрос: при регистрации на сайте/мобильном приложении что вам удобнее ввести в качестве логина?
2013-04-10 в 8:54, admin, рубрики: usability, авторизация, Веб-разработка, Мобильный веб, метки: авторизацияПривет!
Возник с коллегами спор об удобной для большинства пользователей авторизации на сайте/приложении.
Вкратце об абстрактном сервисе — пусть это будет некая помесь Skype, Viber и WhatsApp. Возможность звонков через сервис и на мобильные, отправки сообщений через смс и чат.
Надо понимать, что номер телефона не обязателен, но необходим для полноценного использования сервиса. Разумеется, он не будет передаваться третьим лицам, использоваться для спам-рассылок и прочее, и прочее.
Приветствуется участие в голосовании и любые комментарии на тему.
Чем может грозить точка в конце доменного имени
2013-03-16 в 9:15, admin, рубрики: Apache, nginx, авторизация, Веб-разработка, доменные имена, домены, информационная безопасность, системное администрирование, метки: apache, nginx, авторизация, доменные имена, домены Существует такое понятие, как корневой домен, соответственно, в конце каждого домена есть точка. Возможно, вы и не подозреваете, что ваш сайт доступен по доменному имени с точкой в конце (domain.zone.), так как браузеры позволяют обращаться к сайтам, как с точкой в конце домена, так и без неё.
Читать полностью »
Отказ от стандартной авторизации в пользу социальной
2013-03-11 в 7:34, admin, рубрики: oauth, авторизация, Веб-разработка, регистрация, социальные сети, Социальные сети и сообщества, метки: oauth, авторизация, регистрация, социальные сетиУже достаточно давно многие сайты предоставляют наряду со стандартной авторизацией, авторизацию через социальные сети и веб-сервисы. Перед вами стоит выбор:
- Пройти относительно длинный путь регистрации — ввод email/пароля/капчи и активация по email.
- Просто нажать на иконку социальной сети, в которой у вас заведён аккаунт, и подтвердить доступ.
А почему бы вообще не отказаться от стандартного механизма регистрации?Читать полностью »
Lily v1.2 (Yii модуль для управления пользователями с авторизацией через сервисы)
2013-01-31 в 8:10, admin, рубрики: auth, eauth, yii, авторизация, сервисы, метки: auth, eauth, yii, авторизация, сервисы После перерыва возобновил работу над модулем Yii, о котором писал чуть меньше года назад (пост).
Последние 2-3 недели в значительной мере были затрачены на написание/переписывание кода, и теперь можно вполне анонсировать версию 1.2.
Читать полностью »
Библиотека для авторизации через Хабрахабр
2012-11-06 в 3:24, admin, рубрики: api, php, авторизация, Алгоритмы, хабрахабр, Хабрахабр API, метки: api, PHP, авторизация, ХабрахабрДоброе утро всем, кто уже читает Хабрахабр!
Работая над «Клубом анонимных Дедов Морозов» для Хабра, нам пришлось решить проблему с авторизацией пользователя через Хабр. На Dirty пользователю предлагалось разместить у себя в профиле особую ссылку, наличие которой проверялось их сервером. Мы же решили пойти другим путем и максимально упростить авторизацию для человека, решившего принять участие в акции.
Хотя в итоге библиотека HabraAuth, о которой пойдет речь в топике, не была использована, но она использует тот же принцип авторизации, что и на habra-adm.ru — пользователь вводит свой ник на Хабре, и с аккаунта почтового робота или с аккаунта разработчика ему приходит особая ссылка по Хабропочте, перейдя по которой он и подтверждает владение своим аккаунтом.
Для конечного пользователя при использовании HabraAuth авторизация выглядит и того проще: он вводит свой ник, жмет «Войти» и сервер перекидывает его в Хабропочту, где ему остается только нажать ссылку «Войти» еще раз.
