Wie regelt ihr die Benutzerauthentifizierung ?
Ich hab jetzt schon so einige Sachen getestet,
Unmengen Literatur gewälzt und bei OS Projekten Rat gesucht...
Jetzt wollte ich hier nochmal anfragen.
Nehmt ihr ganz einfach die PHP Sessions ?
Oder ein eigenes Sessionmanagement mit Cookies und .txt files ?
Oder mit Cookies und und einer DB ?
Da es möglich sein muss dauerhaft eingeloggt zu bleiben,
fallen die normalen PHP Sessions ja schon mal raus.
Jetzt nutze ich im Moment Cookies und tracke die Sessions in einer HEAP Tabelle in MySQL mit.
Wäre nett wenn sich hier mal wer äußern könnte, der ein System laufen hat, mit dem er gute Praxiserfahrung gesammelt hat.
Also gute Performance und Sicherheit...
Auf welche anderen Aspekte der Sicherheit legt ihr noch wert ?
Sessions, Sicherheit usw
gepostet vor 18 Jahre, 11 Monate von Amun Ra
gepostet vor 18 Jahre, 11 Monate von Crafty-Catcher
Original von rahq
Da es möglich sein muss dauerhaft eingeloggt zu bleiben,
fallen die normalen PHP Sessions ja schon mal raus.
Tun sie nicht. Das 24min Problem umgeht man indem man in die Seite z.B. nen 0x0px großen IFrame einbaut der nen autorefresh alle 23min hatte und die Session am leben erhält. Zumindest habe ich das immer so gelöst
gepostet vor 18 Jahre, 11 Monate von Amun Ra
Aha...
Na ja, wenn ich aber heute den Browser schliesse und ihn
morgen wieder öffne, wird die Session wohl nicht mehr verfügbar sein ?!
Wenn ich einen Autologin ermöglichen möchte und PHP Sessions legen
ja im einen bestimmten Ordner .txt files um die Session und Daten zu tracken.
Wenn jetzt 500 User einen Autologin möchten ist der Zugriff auf die Sessionfiles ja sicher schön langsam, wo sich ne schnelle Heaptabelle anbieten würde hatte ich so gedacht ?!
Wie sieht das mit der Performance von PHP Sessions bei vielen gleichzeitigen Usern aus ?!
Na ja, wenn ich aber heute den Browser schliesse und ihn
morgen wieder öffne, wird die Session wohl nicht mehr verfügbar sein ?!
Wenn ich einen Autologin ermöglichen möchte und PHP Sessions legen
ja im einen bestimmten Ordner .txt files um die Session und Daten zu tracken.
Wenn jetzt 500 User einen Autologin möchten ist der Zugriff auf die Sessionfiles ja sicher schön langsam, wo sich ne schnelle Heaptabelle anbieten würde hatte ich so gedacht ?!
Wie sieht das mit der Performance von PHP Sessions bei vielen gleichzeitigen Usern aus ?!
gepostet vor 18 Jahre, 11 Monate von Kampfhoernchen
Du kannst auch einfach die Session-lifetime erhöhen. Meine lokalen Sessions laufen bis ins Jahr 2038.
gepostet vor 18 Jahre, 11 Monate von Crafty-Catcher
Original von rahq
Wenn ich einen Autologin ermöglichen möchte und PHP Sessions legen
ja im einen bestimmten Ordner .txt files um die Session und Daten zu tracken.
per Cookie nen Autologin realisieren?
Original von Kampfhoernchen
Du kannst auch einfach die Session-lifetime erhöhen. Meine lokalen Sessions laufen bis ins Jahr 2038.
Das konnte ich nie, da ich nur normalen WebSpace zur Verfügung hatte.
gepostet vor 18 Jahre, 11 Monate von t-solis
lasst doch einfach die cookies ganz weg.
Ja es ist sicherlich dumm das der user sich immer neu einloggen muss aber es lässt solche fragen weg.
also ich benutze keine cookies aus dem grunde.
Ich hab sogar mal eine umfrage gemacht und um die 200 user wollten das nicht. Im weiteren wollte die user auch keine sicherheitscode haben.
Ja es ist sicherlich dumm das der user sich immer neu einloggen muss aber es lässt solche fragen weg.
also ich benutze keine cookies aus dem grunde.
Ich hab sogar mal eine umfrage gemacht und um die 200 user wollten das nicht. Im weiteren wollte die user auch keine sicherheitscode haben.
gepostet vor 18 Jahre, 11 Monate von Crafty-Catcher
Original von t-solisärgerlich
lasst doch einfach die cookies ganz weg.
Ja es ist sicherlich
Original von t-solis
das der user sich immer neu einloggen muss aber es lässt solche fragen weg.
Warum?
Das sollte natürlich beim Login per checkbox o.ä. auswählbar sein ob mit od. ohne Cookie.
gepostet vor 18 Jahre, 11 Monate von Kampfhoernchen
Was an Keksen schlecht sein soll weiß ich net. Man sollte nur sehen, dass es auch ohne geht (Fall-Back-System).
gepostet vor 18 Jahre, 11 Monate von Klaus
am einfachsten über die php.ini zu lösen. Weiß zwar nicht genau wie die Einstellung heißt, aber automatische Anhängung der SID an die URL falls das Cookie nicht greift sollte drin sein.
gepostet vor 18 Jahre, 11 Monate von Amun Ra
Sessionlifetime erhöhen fällt denk ich mal weg...
Ich wollt auf jeden Fall Cookies verwenden.
Fallbacksystem über GET hab ich auch fertig.
Nur irgendwie müssen die Daten ja serverseitig zwischen gespeichert werden, in irgendeiner Form.
Jetzt gibts bei mir bei jedem Zugriff des Users mindestens einen Zugriff auf die Datenbank, SELECT und entsprechend INSERT, UPDATE oder DELETE auf eine HEAP Tabelle.
Da ist ein Sessionkey gespeichert der auch im cookie ist, usw...
Ich wollt ja keine Patentlösung nur mal so ne Anregung.
Wollt halt allgemein mal auf eine sicherheits bezogene Diskussion hinaus...
Ich wollt auf jeden Fall Cookies verwenden.
Fallbacksystem über GET hab ich auch fertig.
Nur irgendwie müssen die Daten ja serverseitig zwischen gespeichert werden, in irgendeiner Form.
Jetzt gibts bei mir bei jedem Zugriff des Users mindestens einen Zugriff auf die Datenbank, SELECT und entsprechend INSERT, UPDATE oder DELETE auf eine HEAP Tabelle.
Da ist ein Sessionkey gespeichert der auch im cookie ist, usw...
Ich wollt ja keine Patentlösung nur mal so ne Anregung.
Wollt halt allgemein mal auf eine sicherheits bezogene Diskussion hinaus...
gepostet vor 18 Jahre, 11 Monate von Smoochy
warum sollen die denn immer eingeloggt bleiben?
Damit macht ihr Refreshern und Bots doch die Tür auf?
Also bei uns wird man nach einer Stunde automatisch ausgeloggt (session destroyed) um den entgegen zu wirken!
Und das beste ist, dass man damit noch jede Menge Traffic spart und den Server entlastet. Denk mal an Opera, der hat standardmäßig einen Refresher drin!
Seit dem wir das System nutzen haben wir fast 1/4 weniger Traffic (aber dennoch gleiche Werbungseinnahmen)
Desweiteren ist es meiner Ansicht nach nicht tragbar kein Sicherheitscode zu benutzen! Ein Bot für ein Browsergame zu basteln ist für mind. 1/100 kein Thema und bei z.B. 10.000 Spielern hast du dann 100 Botuser!
ps. das das den Usern nicht immer 100% gefällt ist klar, aber im Endeffekt wünschen Sie sich eine faire (Bots) und schnelle (Refresher) Runde und somit werden Sie es auch in Kauf nehmen!
gruß
Smoochy
Damit macht ihr Refreshern und Bots doch die Tür auf?
Also bei uns wird man nach einer Stunde automatisch ausgeloggt (session destroyed) um den entgegen zu wirken!
Und das beste ist, dass man damit noch jede Menge Traffic spart und den Server entlastet. Denk mal an Opera, der hat standardmäßig einen Refresher drin!
Seit dem wir das System nutzen haben wir fast 1/4 weniger Traffic (aber dennoch gleiche Werbungseinnahmen)
Desweiteren ist es meiner Ansicht nach nicht tragbar kein Sicherheitscode zu benutzen! Ein Bot für ein Browsergame zu basteln ist für mind. 1/100 kein Thema und bei z.B. 10.000 Spielern hast du dann 100 Botuser!
ps. das das den Usern nicht immer 100% gefällt ist klar, aber im Endeffekt wünschen Sie sich eine faire (Bots) und schnelle (Refresher) Runde und somit werden Sie es auch in Kauf nehmen!
gruß
Smoochy