ilch Forum » Allgemein » HTML, PHP, SQL,... » Login Programmieren PHP

Geschlossen
  1. #1
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    Hi Leute,

    ich bin momentan dabei einen Webservice für eine Firma zu Programmieren, als neue anforderung kam dazu dass es nicht nur im Intranet verfügbar sein soll sondern es soll nun doch auch vom extranet aufgerufen werden können, d.H. es muss jetzt doch ein user management implementiert werden.

    dazu nun meine Frage:

    Wie ist ein vernünftiges UserManagement aufgebaut (Rollen oder Rechte werden nicht benötigt) Es soll nur User geben und dem User ein bestimmte Passwort zugeordnet sein. Die User sollen dann aber auch Verwaltet werden können.

    htaccess fällt aus lächeln

    ich möchte das ganze mit PHP realisieren gibt es zu einem PHP login gute tips oder tutorials oder ähnlicheS?
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    she Mitglied
    Registriert seit
    13.11.2010
    Beiträge
    1.115
    Beitragswertungen
    82 Beitragspunkte
    net.tutsplus.com/tutorials/php/user-membership-with-php/

    Finde ich gut, doch in Englisch. Sehr einfach für Beginner
    Google+ shelfinger.eu
    Das Wissen verfolgt mich - doch ich bin schneller!
    1 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    sieht nicht so schlecht aus was meint ihr zur sicherheit ?
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    she Mitglied
    Registriert seit
    13.11.2010
    Beiträge
    1.115
    Beitragswertungen
    82 Beitragspunkte
    Sicherheit ist Relativ einfach. Mach mysql_real_escape_string für die Sicherheit des Systems, ist erforderlich das du den normalen User nicht die Rechte gibts das Sie andere Users Passwörter ändern können. Ansonsten hast du viele Trolle die schwachsinn machen. Und du wirst gefloodet mit Email ("Hahahaha guter programmier ich kann XY Passwort ändern")
    Google+ shelfinger.eu
    Das Wissen verfolgt mich - doch ich bin schneller!
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    hmm

    was verstehst du als Extranet? Login ins Firmen Netzwerk mit VPN ?

    Es gibt verschiedene Möglichkeiten.

    Aber sicherheit ist wie she schon sagt relativ

    Falls VPN im Spiel ist

    OTP und ACD implementieren da spaart man sich die Doppelte Benutzerführung

    ansonsten empfiehlt es sich evtl auch schonmal mit 802.1x zu prüfen ob der user überhaupt ins netz darf. auch das geht über ne ACD/RADIUS/TACACS+

    Je nach Firmengröße lässt sich das recht einfach über eine CISCO ASA realisieren gruß
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    nein die geschichte soll auch unanbhängig vom vpn funktionieren

    ja eine admin gruppe brauch ich schon das ist klar.
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    Wenn du es einigermaßen schützen willst musst du OTP verwenden dann
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    hab ich bisher noch nie hast du mir ein beispiel?
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    Also OTP -> One Time Passwort

    Kann ich dir so nicht erklären aber Funktionsprinzip entspricht e-Tan oder dem Blizzard Dongle.
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Naja ich glaube das macht wenig Sinn, das hängt doch von den Anforderungen ab. Wenn du eine externe Anwendung hast, die den Webservice nutzen soll, kannst du wohl kaum OTP verwenden und wofür sind Webservices denn sonst gut?

    Für Sicherheit ist eher wichtig, dass du beim Login wenige Informationen verrätst, also z.B. nicht sagst, dass der Benutzer richtig war das Password aber falsch. Dann halt Loginversuche einschränken (IP nach x falschen Versuchen sperren), einen guten Hash Algorithmus für die Passwörter verwenden.

    Wichtig ist dann halt auch, dass der Service über https und nur darüber angesprochen werden kann.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    ja was otp ist weiß ich auch ich könne einen dongel organisieren der tokens generiert aber das ist sicher nicht erwünscht...

    kannst du mir einen guten alorithmus empfehlen oder soll ich mir lieber selber einen ausdenken?

    https ist logisch

    das mit den loginversuchen ist ne gute idee ja das mach ich
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    Halt moment,

    Es geht hier doch um ein Extranet oder nicht O.o

    Von daher macht so eine OTP Geschichte schon sinn da der Zugriff ja nur für den Mitarbeiter Kreis sein soll. Oder nicht?

    OK ich entscheide mal Ich brauche mehr Information über Infra und projekt ...
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Naja für Hashes nutzt man sha256/512 und dann halt mit mehreren Runden etc. siehe pwcrypt Klasse bei uns, gibt da aber auch andere.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    ja soll schon nur für mitarbeiter sein das stimmt ... aber das login soll auch nicht soo komplex sein mit token etc ...


    okay danke schau ich mir mal an
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu HTML, PHP, SQL,...

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten