zerkms Dec 6 2010 at 16:05

Входите! Аутентификация без логина и пароля, v2

4 min

7.7K

PHP*

+36

Comments 17

babai Dec 6 2010 at 16:08

Если есть возможность, сессии лучше хранить в Redis или аналогичных.

zerkms Dec 6 2010 at 16:09

Это не про сессии :-) В конце ссылка :-)

babai Dec 6 2010 at 16:18

Ну прочитайте сессии для одноразовых ссылок.

zerkms Dec 6 2010 at 18:06

Да где угодно. Я в конце добавил, что концептуальное различие в том, что мы не зацикливаемся ни на каких пользовательских данных, а токен абсолютно рандомный.

DevMan Dec 6 2010 at 16:14

Далеко не всегда это необходимо.

shushu Dec 6 2010 at 16:16

Строка 24 не до конца ( с mc копировали? :) )
Да и как то одного типа придерживаться, а то в одном месте есть ":", а в другом нету.

shushu Dec 6 2010 at 16:18

опс, как оказалось всё есть. Разметка страниц у хабра такая, строка длинная — скрывает под дивом (сорь)

JeanLouis Dec 6 2010 at 17:25

Очевидное решение.

zerkms Dec 6 2010 at 17:28

Правильно. Очевидное и простое.

Я тут просто выступаю в роли КО, чтобы немного разбавить тот «неочевидный» топик :-)

Зачем усложнять до того, как это потребуется? :-)

netload Dec 6 2010 at 18:07

Обычно использую что-то похожее, только вместо «DELETE FROM one_time_auth » делаю UPDATE — сохраняю нужную информацию о человеке (дата, IP и т.д.) и ставлю переключатель типа active enum(y,n) в 'n', чтобы сессия действительно была одноразовой.
И в вашем случае в DELETE просится первичный ключ (банально ID с autoincrement), запрос выполнится быстрее.

zerkms Dec 6 2010 at 18:08

token и есть PK, смотрите на схему.

netload Dec 6 2010 at 18:13

token можно сделать обычным ключом (чисто теоретически даже с md5 возможен повтор), добавить первичный ключ типа int (с autoincrement) и для delete использовать его. Что-то мне подсказывает, что на больших таблицах поиск по короткому int будет заметно быстрее поиска по строке token

zerkms Dec 6 2010 at 18:17

Пускай будет повтор — я ловлю эксепшн и пытаюсь добавить новый случайный токен: строки 29-36.

По поводу поиска — на примерно нескольких десятках миллионов разница настолько несущественная, что я бы не стал всё таки вводить суррогатные данные, когда у нас есть такие удобные естественные.

AgaFonOff Dec 6 2010 at 21:53

> чисто теоретически даже с md5 возможен повтор

Чисто практически даже у четвертинки от MD5 повторы — единицы на миллионы.
Так что длину токена можно уменьшить сильно, если не требуется огромного числа одновременных ссылок с авторизацией.

zerkms Dec 6 2010 at 18:10

А вообще с UPDATE клёвая идея. Но цель этого поста выражена в PS и PPS. Это не готовое решение, это просто информация к размышлению и утверждение о том, что «рандомный токен» — это хорошо :-)

netload Dec 6 2010 at 18:18

Разумеется. Я просто поделился своей идеей-дополнением.
И да, в реальной жизни не всегда нужен 32-символный ключ. Даже 8-символьный ключ подобрать брутфосом практически невозможно, зато ссылка будет выглядеть короче и симпатичнее.

zerkms Dec 6 2010 at 18:21

Если учесть, что такая ссылка не для красоты, а для дела — то совершенно не страшно. Вон в платёжных системах вообще урлы длиной сотни знаков, и ничего :)