zerkms 6 дек 2010 в 13:05

Входите! Аутентификация без логина и пароля, v2

4 мин

7.7K

PHP *

+36

Комментарии 17

babai 6 дек 2010 в 13:08

Если есть возможность, сессии лучше хранить в Redis или аналогичных.

zerkms 6 дек 2010 в 13:09

Это не про сессии :-) В конце ссылка :-)

babai 6 дек 2010 в 13:18

Ну прочитайте сессии для одноразовых ссылок.

zerkms 6 дек 2010 в 15:06

Да где угодно. Я в конце добавил, что концептуальное различие в том, что мы не зацикливаемся ни на каких пользовательских данных, а токен абсолютно рандомный.

DevMan 6 дек 2010 в 13:14

Далеко не всегда это необходимо.

shushu 6 дек 2010 в 13:16

Строка 24 не до конца ( с mc копировали? :) )
Да и как то одного типа придерживаться, а то в одном месте есть ":", а в другом нету.

shushu 6 дек 2010 в 13:18

опс, как оказалось всё есть. Разметка страниц у хабра такая, строка длинная — скрывает под дивом (сорь)

JeanLouis 6 дек 2010 в 14:25

Очевидное решение.

zerkms 6 дек 2010 в 14:28

Правильно. Очевидное и простое.

Я тут просто выступаю в роли КО, чтобы немного разбавить тот «неочевидный» топик :-)

Зачем усложнять до того, как это потребуется? :-)

netload 6 дек 2010 в 15:07

Обычно использую что-то похожее, только вместо «DELETE FROM one_time_auth » делаю UPDATE — сохраняю нужную информацию о человеке (дата, IP и т.д.) и ставлю переключатель типа active enum(y,n) в 'n', чтобы сессия действительно была одноразовой.
И в вашем случае в DELETE просится первичный ключ (банально ID с autoincrement), запрос выполнится быстрее.

zerkms 6 дек 2010 в 15:08

token и есть PK, смотрите на схему.

netload 6 дек 2010 в 15:13

token можно сделать обычным ключом (чисто теоретически даже с md5 возможен повтор), добавить первичный ключ типа int (с autoincrement) и для delete использовать его. Что-то мне подсказывает, что на больших таблицах поиск по короткому int будет заметно быстрее поиска по строке token

zerkms 6 дек 2010 в 15:17

Пускай будет повтор — я ловлю эксепшн и пытаюсь добавить новый случайный токен: строки 29-36.

По поводу поиска — на примерно нескольких десятках миллионов разница настолько несущественная, что я бы не стал всё таки вводить суррогатные данные, когда у нас есть такие удобные естественные.

AgaFonOff 6 дек 2010 в 18:53

> чисто теоретически даже с md5 возможен повтор

Чисто практически даже у четвертинки от MD5 повторы — единицы на миллионы.
Так что длину токена можно уменьшить сильно, если не требуется огромного числа одновременных ссылок с авторизацией.

zerkms 6 дек 2010 в 15:10

А вообще с UPDATE клёвая идея. Но цель этого поста выражена в PS и PPS. Это не готовое решение, это просто информация к размышлению и утверждение о том, что «рандомный токен» — это хорошо :-)

netload 6 дек 2010 в 15:18

Разумеется. Я просто поделился своей идеей-дополнением.
И да, в реальной жизни не всегда нужен 32-символный ключ. Даже 8-символьный ключ подобрать брутфосом практически невозможно, зато ссылка будет выглядеть короче и симпатичнее.

zerkms 6 дек 2010 в 15:21

Если учесть, что такая ссылка не для красоты, а для дела — то совершенно не страшно. Вон в платёжных системах вообще урлы длиной сотни знаков, и ничего :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий