... h2. Алгоритм работы авторизации в личном кабинете и веб-авторизации
1. При SSL пароль передается в текстовом виде
2. Без SSL. Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php случайное слово выводится в скрытое поле
# Содержимое поля "пароль" стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
# Логин и хэш передаются в процедуру на стороне сервера
# В процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# Если хэши совпадают, то пользователь авторизуется
3. Если включен режим "входить в кабинет без авторизации" , то авторизация происходит по IP адресу пользователя и требуется гарантировать защиту от подстановки средствами оборудования локальной сети\!. Такой типа авторизации не работает для администраторов.
|