1. PHP framework CodeIgniter. Авторизація відвідувачів і обмеження доступу З питаннями безпеки web...
2. PHP framework CodeIgniter. Авторизація відвідувачів і обмеження доступу

PHP framework CodeIgniter. Авторизація відвідувачів і обмеження доступу

Наша взаимовыгодная связь https://banwar.org/

З питаннями безпеки web ресурсів постійно стикається кожен розробник. І, природно, в цій області існує маса рішень. У цій статті я хочу розповісти про вбудовані можливості фреймворка CodeIgniter , Які можна використовувати для авторизації відвідувачів і обмеження їх доступу.

Перш за все, коротко опишу ситуацію, що склалася.

Більшість web ресурсів використовують для захисту пару «ім'я - пароль». Це не найбезпечніший варіант, але зате зручний (простий) у використанні.

Більш складні методи захисту вимагають від відвідувача або спеціальних знань, або покупки устаткування, або того й іншого. Наприклад, служба WebMoney використовує сертифікати для авторизації користувачів. Метод хороший, але інструкція по використанню і безпечній роботі з цими сертифікатами займає кілька сторінок. Звичайний користувач інтернету не стане зв'язуватися з такою системою без досить вагомої причини (в разі WebMoney мова йде про його власних грошах).

Про апаратної захисту (на кшталт біометричних датчиків і т.п.) і говорити не доводиться. Ці пристрої коштують грошей і, найчастіше, немаленьких.

Тому, метод авторизації за допомогою імені та пароля, схоже, залишиться найпоширенішим в доступному для огляду майбутньому.

У «класичному» варіанті цей метод працює так. Відвідувач вводить ім'я і пароль, ви їх перевіряєте і, якщо все в порядку, записуєте який-небудь параметр в сесію (наприклад, ім'я користувача). Після цього, в кожну захищену сторінку сайту потрібно додати код, який буде перевіряти, чи встановлений потрібний параметр в сесії, і якщо немає, пропонувати відвідувачеві ввести ім'я та пароль.

Природно, цей підхід далеко не найкращий, тому що код перевірки форми буде дублюватися на кожній сторінці.

CodeIgniter пропонує елегантне рішення цієї проблеми. Ідея полягає у використанні методу _remap. Якщо в контролері оголошений цей метод, то звернення до будь-якого іншого методу контролера будуть переадресовані йому.

Тепер можна розмістити код перевірки в методі _remap і він буде виконуватися для всіх звернень до сайту.

function _remap ($ method) {// сторінки, доступні без авторизації $ allowedPages = array ( 'index', 'newuser', 'about'); $ Pars = $ this-> uri-> segment_array (); unset ($ pars [1]); unset ($ pars [2]); if (($ method! = null) && (($ this-> session-> userdata ( 'username')! = null) || in_array ($ method, $ allowedPages))) {call_user_func_array (array ($ this, $ method), $ pars); } Else {$ this-> index (); }}

Розберемо докладніше код цього прикладу.

Перш за все, я оголосив масив ($ allowedPages) з переліком сторінок (методів контролера) доступних без авторизації. Перелік складено довільно і передбачається, що стаття 'index' містить форму для введення імені і пароля.

Після цього, зберіг всі сегменти адреси і видалив перші два (рядки 4-6). Як ви пам'ятаєте, в CodeIgniter перший сегмент адреси містить ім'я контролера (воно нам не потрібно), другий - ім'я методу (передається методу _remap в параметрі $ method), в інших можуть передаватися параметри (ось їх потрібно зберегти і передати викликається методу).

У рядках 7, 8 перевіряється чи можна викликати вказаний метод. Наведений код викличе метод в двох випадках:
1) якщо в сесії було встановлено параметр 'username';
2) назва методу міститься в масиві $ allowedPages, тобто доступ до нього дозволений без авторизації.

Виклик методу контролера здійснюється за допомогою функції call_user_func_array, тому що параметри методу знаходяться в масиві.

Якщо умови не виконуються, буде викликаний index (). Тобто відвідувач потрапить на головну сторінку сайту з формою введення імені та пароля.

Як бачите, все досить просто.

Важливо. Якщо ваш сайт містить кілька контролерів, то метод _remap повинен бути оголошений в кожному з них.

обмеження

Описаний метод зручно використовувати, якщо вам достатньо одного користувача з адміністративними правами.

У разі, якщо вам потрібно створювати групи користувачів і призначати їм різні привілеї, то, варто спробувати одну з бібліотек авторизації, розроблених спеціально для CodeIgniter. наприклад, FreakAuth , EzAuth , UserAuth .

Крім того, можна використовувати і інші бібліотеки. наприклад, mihailt опублікував дуже цікаву статтю « Використання Zend_Acl для контролю доступу в Codeigniter'e ».

Як бачите, на сьогоднішній день існують рішення практично для будь-яких потреб.

Успіхів!

PHP framework CodeIgniter. Авторизація відвідувачів і обмеження доступу

З питаннями безпеки web ресурсів постійно стикається кожен розробник. І, природно, в цій області існує маса рішень. У цій статті я хочу розповісти про вбудовані можливості фреймворка CodeIgniter , Які можна використовувати для авторизації відвідувачів і обмеження їх доступу.

Перш за все, коротко опишу ситуацію, що склалася.

Більшість web ресурсів використовують для захисту пару «ім'я - пароль». Це не найбезпечніший варіант, але зате зручний (простий) у використанні.

Більш складні методи захисту вимагають від відвідувача або спеціальних знань, або покупки устаткування, або того й іншого. Наприклад, служба WebMoney використовує сертифікати для авторизації користувачів. Метод хороший, але інструкція по використанню і безпечній роботі з цими сертифікатами займає кілька сторінок. Звичайний користувач інтернету не стане зв'язуватися з такою системою без досить вагомої причини (в разі WebMoney мова йде про його власних грошах).

Про апаратної захисту (на кшталт біометричних датчиків і т.п.) і говорити не доводиться. Ці пристрої коштують грошей і, найчастіше, немаленьких.

Тому, метод авторизації за допомогою імені та пароля, схоже, залишиться найпоширенішим в доступному для огляду майбутньому.

У «класичному» варіанті цей метод працює так. Відвідувач вводить ім'я і пароль, ви їх перевіряєте і, якщо все в порядку, записуєте який-небудь параметр в сесію (наприклад, ім'я користувача). Після цього, в кожну захищену сторінку сайту потрібно додати код, який буде перевіряти, чи встановлений потрібний параметр в сесії, і якщо немає, пропонувати відвідувачеві ввести ім'я та пароль.

Природно, цей підхід далеко не найкращий, тому що код перевірки форми буде дублюватися на кожній сторінці.

CodeIgniter пропонує елегантне рішення цієї проблеми. Ідея полягає у використанні методу _remap. Якщо в контролері оголошений цей метод, то звернення до будь-якого іншого методу контролера будуть переадресовані йому.

Тепер можна розмістити код перевірки в методі _remap і він буде виконуватися для всіх звернень до сайту.

function _remap ($ method) {// сторінки, доступні без авторизації $ allowedPages = array ( 'index', 'newuser', 'about'); $ Pars = $ this-> uri-> segment_array (); unset ($ pars [1]); unset ($ pars [2]); if (($ method! = null) && (($ this-> session-> userdata ( 'username')! = null) || in_array ($ method, $ allowedPages))) {call_user_func_array (array ($ this, $ method), $ pars); } Else {$ this-> index (); }}

Розберемо докладніше код цього прикладу.

Перш за все, я оголосив масив ($ allowedPages) з переліком сторінок (методів контролера) доступних без авторизації. Перелік складено довільно і передбачається, що стаття 'index' містить форму для введення імені і пароля.

Після цього, зберіг всі сегменти адреси і видалив перші два (рядки 4-6). Як ви пам'ятаєте, в CodeIgniter перший сегмент адреси містить ім'я контролера (воно нам не потрібно), другий - ім'я методу (передається методу _remap в параметрі $ method), в інших можуть передаватися параметри (ось їх потрібно зберегти і передати викликається методу).

У рядках 7, 8 перевіряється чи можна викликати вказаний метод. Наведений код викличе метод в двох випадках:
1) якщо в сесії було встановлено параметр 'username';
2) назва методу міститься в масиві $ allowedPages, тобто доступ до нього дозволений без авторизації.

Виклик методу контролера здійснюється за допомогою функції call_user_func_array, тому що параметри методу знаходяться в масиві.

Якщо умови не виконуються, буде викликаний index (). Тобто відвідувач потрапить на головну сторінку сайту з формою введення імені та пароля.

Як бачите, все досить просто.

Важливо. Якщо ваш сайт містить кілька контролерів, то метод _remap повинен бути оголошений в кожному з них.

обмеження

Описаний метод зручно використовувати, якщо вам достатньо одного користувача з адміністративними правами.

У разі, якщо вам потрібно створювати групи користувачів і призначати їм різні привілеї, то, варто спробувати одну з бібліотек авторизації, розроблених спеціально для CodeIgniter. наприклад, FreakAuth , EzAuth , UserAuth .

Крім того, можна використовувати і інші бібліотеки. наприклад, mihailt опублікував дуже цікаву статтю « Використання Zend_Acl для контролю доступу в Codeigniter'e ».

Як бачите, на сьогоднішній день існують рішення практично для будь-яких потреб.

Успіхів!

PHP framework CodeIgniter. Авторизація відвідувачів і обмеження доступу

З питаннями безпеки web ресурсів постійно стикається кожен розробник. І, природно, в цій області існує маса рішень. У цій статті я хочу розповісти про вбудовані можливості фреймворка CodeIgniter , Які можна використовувати для авторизації відвідувачів і обмеження їх доступу.

Перш за все, коротко опишу ситуацію, що склалася.

Більшість web ресурсів використовують для захисту пару «ім'я - пароль». Це не найбезпечніший варіант, але зате зручний (простий) у використанні.

Більш складні методи захисту вимагають від відвідувача або спеціальних знань, або покупки устаткування, або того й іншого. Наприклад, служба WebMoney використовує сертифікати для авторизації користувачів. Метод хороший, але інструкція по використанню і безпечній роботі з цими сертифікатами займає кілька сторінок. Звичайний користувач інтернету не стане зв'язуватися з такою системою без досить вагомої причини (в разі WebMoney мова йде про його власних грошах).

Про апаратної захисту (на кшталт біометричних датчиків і т.п.) і говорити не доводиться. Ці пристрої коштують грошей і, найчастіше, немаленьких.

Тому, метод авторизації за допомогою імені та пароля, схоже, залишиться найпоширенішим в доступному для огляду майбутньому.

У «класичному» варіанті цей метод працює так. Відвідувач вводить ім'я і пароль, ви їх перевіряєте і, якщо все в порядку, записуєте який-небудь параметр в сесію (наприклад, ім'я користувача). Після цього, в кожну захищену сторінку сайту потрібно додати код, який буде перевіряти, чи встановлений потрібний параметр в сесії, і якщо немає, пропонувати відвідувачеві ввести ім'я та пароль.

Природно, цей підхід далеко не найкращий, тому що код перевірки форми буде дублюватися на кожній сторінці.

CodeIgniter пропонує елегантне рішення цієї проблеми. Ідея полягає у використанні методу _remap. Якщо в контролері оголошений цей метод, то звернення до будь-якого іншого методу контролера будуть переадресовані йому.

Тепер можна розмістити код перевірки в методі _remap і він буде виконуватися для всіх звернень до сайту.

function _remap ($ method) {// сторінки, доступні без авторизації $ allowedPages = array ( 'index', 'newuser', 'about'); $ Pars = $ this-> uri-> segment_array (); unset ($ pars [1]); unset ($ pars [2]); if (($ method! = null) && (($ this-> session-> userdata ( 'username')! = null) || in_array ($ method, $ allowedPages))) {call_user_func_array (array ($ this, $ method), $ pars); } Else {$ this-> index (); }}

Розберемо докладніше код цього прикладу.

Перш за все, я оголосив масив ($ allowedPages) з переліком сторінок (методів контролера) доступних без авторизації. Перелік складено довільно і передбачається, що стаття 'index' містить форму для введення імені і пароля.

Після цього, зберіг всі сегменти адреси і видалив перші два (рядки 4-6). Як ви пам'ятаєте, в CodeIgniter перший сегмент адреси містить ім'я контролера (воно нам не потрібно), другий - ім'я методу (передається методу _remap в параметрі $ method), в інших можуть передаватися параметри (ось їх потрібно зберегти і передати викликається методу).

У рядках 7, 8 перевіряється чи можна викликати вказаний метод. Наведений код викличе метод в двох випадках:
1) якщо в сесії було встановлено параметр 'username';
2) назва методу міститься в масиві $ allowedPages, тобто доступ до нього дозволений без авторизації.

Виклик методу контролера здійснюється за допомогою функції call_user_func_array, тому що параметри методу знаходяться в масиві.

Якщо умови не виконуються, буде викликаний index (). Тобто відвідувач потрапить на головну сторінку сайту з формою введення імені та пароля.

Як бачите, все досить просто.

Важливо. Якщо ваш сайт містить кілька контролерів, то метод _remap повинен бути оголошений в кожному з них.

обмеження

Описаний метод зручно використовувати, якщо вам достатньо одного користувача з адміністративними правами.

У разі, якщо вам потрібно створювати групи користувачів і призначати їм різні привілеї, то, варто спробувати одну з бібліотек авторизації, розроблених спеціально для CodeIgniter. наприклад, FreakAuth , EzAuth , UserAuth .

Крім того, можна використовувати і інші бібліотеки. наприклад, mihailt опублікував дуже цікаву статтю « Використання Zend_Acl для контролю доступу в Codeigniter'e ».

Як бачите, на сьогоднішній день існують рішення практично для будь-яких потреб.

Успіхів!