Метка «авторизация» - 3

imageЗдравствуйте читатели! Данная статья описывает протокол API Z-Payment на основе OAuth 2.0, для авторизации пользователей на сторонних сайтах. Признаемся, что регистрироваться всегда лень, не говоря уже о том, что приходится делиться личной информацией (как минимум почтой), а когда это необходимо делать всего лишь один раз, то лень в двойне. Именно по этому Интернет сервисы с большим количеством пользователей, предлагают возможность авторизации на сторонних ресурсах через себя и Z-Payment в этом случае уже не исключение.
Читать полностью »

Введение

На своем сайте на php для авторизации пользователей я в последнее время пользовался сервисом Loginza. Все было очень круто и удобно, но в голове начала зарождаться идея отказа от этого замечательного сервиса и вот почему:

  1. Авторизация пользователей в случае закрытия Loginza или отказа от нее — в этом случае мы потеряем пользователей, которые не указали email;
  2. Дополнительная информация, например, ВКонтакте умеет отдавать фото пользователя в нескольких видах, в том числе квадратный аватар. С Логинзой получить эти данные не представляется возможным, сервис сам решает какие данные запрашивать и какие отдавать;
  3. С момента продажи сервиса Яндексу он начал по-тихоньку умирать, на запросы пользователей никто не отвечает, сервис не развивается, а находится в том виде, в котором был 1-2 года назад.

Встал вопрос замены и использовать альтернативные сервисы желания уже не возникало — никто не представлял возможности «общаться» с соц. сетью напрямую, а расширенные поля профиля обычно включались в платные услуги. В итоге я остановился на php библиотеке HybridAuth.
Читать полностью »

Редактор OAuth 2.0 попросил вычеркнуть своё имя из спецификаций

Эран Хаммер (Eran Hammer), один из авторов спецификаций OAuth 1.0, а также действующий редактор создающегося стандарта OAuth 2.0, объявил об уходе с поста после трёх лет работы над новым стандартом, и попросил вычеркнуть своё имя из спецификаций.

В личном блоге специалист объяснил причины такого поступка. Если в двух словах, то OAuth 2.0 после обработки в IETF превратился в плохой стандарт. «Он плох настолько, что я больше не хочу, чтобы моё имя ассоциировалось с ним», — пишет Эран Хаммер, хотя и отмечает, что после трёх лет упорной работы это решение далось ему нелегко. Обсуждение нового стандарта в IETF привело к множеству компромиссов, в результате чего появились спецификации, которые не удовлетворяют двум основным принципам — совместимости и безопасности. Так, одним из компромиссов стало переименование протокола во фреймворк, а ещё одним компромиссом — добавление заявления, что спецификации вряд ли способны обеспечить совместимые реализации. Даже пример Facebook показывает, что разработчики игнорируют важные части OAuth 2.0, и это при том, что в Facebook реализацией этой технологии занимается один из авторов спецификаций.
Читать полностью »

Краткий анонс

Собирался добавить пару предположений на счет авторизации и регистрации на сайте, но то ли от недосыпания, то ли от многочисленных выпитых сегодня чашек кофе меня потянуло в дебри. Набросал некоторые заметки. Возможно кто-то из Вас найдет что-то новое для себя, возможно кто-то подскажет новое правило для кого-то, возможно кто-то поправит меня тем самым дав и мне урок, и другим. Ниже идут некоторые заметки работы с БД, еще ниже уже несколько заметок про работу самого сервера и т.д.
Читать полностью »

Сейчас я делаю свой небольшой сайт и у меня возникла вот такая идея. В моей базе данных хранятся такие пользовательские данные как логин, пароль и код уровня доступа (1 — администратор, 2 — модератор, 3 — обычный пользователь). Если кто-то получит доступ к моей таблице и изменит код доступа на «1» то он автоматически станет админом. Это не хорошо.

Поэтому я решил ввести новую запись — ключ. Ключ создаётся по такой схеме md5(Соль + Пароль(не хэш) + Ранг). Зачем нужна Соль? Чтобы скрыть способ шифрования — иначе злоумышленник может сам сделать свой хэш, а так может только мой скрипт. При каждом логине пользователя я сверяю два ключа — тот который создан по введеному паролю и тот который хранится в БД. Если ключи не совпадают (sql-инъекцией злоумышленник изменил себе ранг) скрипт не даёт авторизоваться, хотя логин и пароль введены правильно. Можно добавить в ключ другие важные данные — е-майл, номер телефона и т.п. Читать полностью »

Единая авторизация (SSO) средствами JASIG CAS. Часть 2
Приветствую, уважаемые хабро-читатели. Перед вами продолжение серии статей про JASIG CAS. В этой части я расскажу, как собрать артефакт CAS и начать с ним работать. Прежде, чем читать дальше, я надеюсь, вы прочитали первую часть.

Читать полностью »

Мне очень нравятся сервисы вроде formsping.me, ask.fm тем, что у каждого пользователя есть своя маленькая страничка (например, ask.fm/popova) — и ты сразу знаешь к кому попал.
Мне и моему другу sborod пришла в голову идея сделать сервис для признаний в любви с похожей механикой:
1. Андрей заходит на сайт, логинясь через ВКонтакте, и вводит ссылку на профиль Марины, которая ему нравится.
Сервис признаний в любви на Rails
2. Ему генерируется собственная страничка howmuchiloveyou.ru/его короткое имя или id номер ВКонтакте, если короткое имя не указано.
3. Он копирует ссылку себе в статус ВКонтакте или на стену.
4. Всем перешедшим по ссылке, кроме Марины, говорят: «Я люблю не тебя». Если заходит Марина, то ей выводится: «Я тебя люблю! Андрей».
Читать полностью »

Единая авторизация (SSO) средствами JASIG CAS. Часть 1
Эта статья задумывалась как практическое руководство по установке и настройке сервера JASIG CAS. Я не ставил себе целью объяснить, что такое Single Sign On (SSO), поэтому если вы еще не знакомы с этим понятием, то сначала загляните на википедию и портал Techtarget. Желательно, также иметь опыт работы со Spring и Maven.
Статья будет состоять из 3-х частей. В начале я коротко расскажу, почему мы остановили свой выбор на CAS и об особенностях его протокола. Остальная статья будет посвящена настройке сервиса авторизации, начиная с конфигурации контейнера сервлетов и заканчивая решением некоторых нетривиальных вопросов, таких как авторизация с внешней формы и хэширование учетных данных.
Читать полностью »

Всем привет!
На хабре уже была статья от Nodge про авторизацию на различных сервисах, в том числе и Mail.ru. Но она была для Yii и в ней детально не описывался сам процесс. Так же была статья от propovednik, но в ней описывался процесс авторизации через javascript + php. В этой статье я бы хотел детально разобрать серверный метод авторизации. Для авторизации будет использован PHP и модель сервер-сервер.
Читать полностью »

Думаю, редкий человек, следящий за блоком Yii на хабре, не видел статью об экстеншене для авторизации через социальные сети EAuth. Сегодня я хочу представить в некотором роде продолжение этой темы, а именно модуль для управления пользователями, основанном на вышеупомянутом дополнении.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js