Вы просматриваете старую версию данной страницы. Смотрите текущую версию.
Сравнить с текущим |
просмотр истории страницы
Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
- В cabinet.php в функции __show_login генерируется случайное слово.
- В login.php случайное слово выводится в скрытое поле
- При нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
- Содержимое поля с паролем стирается
- логин, случайное слово, хэш и ip пользователя передаются в процедуру на стороне сервера
- в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
- если получилось, то пользователь считается авторизованным