Здравствуйте. с php знаком наскоком чуть больше месяца, по этому не сильно пинайте. необходимо базово сделать авторизацию пользователя приложения на сервер. слегка еще наверно не до конца понимаю механизмы сессии, но алгоритм набросал такой если я правильно понял, то при создании сессии в куку кладется уникальный идентификатор сессии в PHPSESSID c временем действия session.gc_maxlifetime. при повторном обращении к скрипту время сессии начинает считаться от времени последнего обращения (или от start_session()). Но вот в куке PHPSESSID срок действия не продлевается на session.gc_maxlifetime. 1. если в куках нет PHPSESSID, то получаем переданные логин-пароль. GET или POST запросы 1.1 если логин-пароль НЕ передан, то по сути сессии у нас нет и логина-пароля тоже - не авторизован 1.2 если логин-пароль передан, то пытаемся авторизоваться 1.2.1 запрашиваем базу в этим логином-паролем. 1.2.1.1 если не сошелся логин-пароль выплевываем, что не авторизовался 1.2.1.2 если сошелся, то выставляем сессионную переменную авторизации и выдаем пользователю, что авторизован. в куки добавляем токен со сроком действия таким же, как и session.gc_maxlifetime 2. если есть PHPSESSID 2.1. продлеваем срок действия PHPSESSID на session.gc_maxlifetime и действие токена на session.gc_maxlifetime 2.2 выдаем пользователю, что авторизован логика есть или в конец заработался?)
да, похоже заработался ) набросал такой скрипт. вроде работает PHP: ini_set('session.cookie_lifetime', 1*60);// это общей куки PHPSESSID ini_set('session.gc_maxlifetime', 1*60);// это время жизни сессииы session_start(); // получаем id и пароль, переданный if ($_SERVER['REQUEST_METHOD'] == 'GET') { if (!isset($_SESSION['logged'])) { // не залогинено if (isset($_GET['uid']) && isset($_GET['pass']) ) { // если переданы логин-пароль // проверяемся на базе $uid = $_GET['uid']; $pass = $_GET['pass']; $db = new Database(); $db->connect(); $db->beginTransaction(); $pass = str_replace('"', '', $pass); $pass = str_replace("'", "", $pass); $par = '\''.$uid.'\''.','.'\''.$pass.'\''; $db->ExecProc('SITE_AUTH','pass_int,counter,auth',$par); $res = $db->getJSONResult(); $db->commit(); $data = json_decode($res, true); if ($data['success'] == false) // тут скорее всего ошибка базы. надо выдать типа на обслуживании { echo('Ошибка на стороне сервера!'); session_destroy(); return; } if ($data['data'][0]['PASS_INT'] == '') { // тут пустой пароль пришет. значит нет там такого логина echo('Нет такого пользователя!'); session_destroy(); return; } if ($data['data'][0]['COUNTER'] == 1) { // есть . нашли пользователя //echo('33333'); if ($data['data'][0]['AUTH'] == 1) { // пароль подошел /// процедура решила, что аутентифиципровался // echo(session_status()); // ставим сессионную переменную $_SESSION['myvar'] = 23123123; setcookie('authC','3333333333333333333333',time()+60*1); //echo($_COOKIE['PHPSESSID']); echo(session_id()); $_SESSION['logged'] = 1; //echo(PHP_SESSION_ACTIVE); } else { echo('Пользователь имеется, но пароль не подошел '); session_destroy(); return; } } } } else {// залогинено // продлеваем phpsessid $_sess_name = session_name(); $_sess_id = session_id(); // Update cookie ;) setcookie($_sess_name, $_sess_id, time() + 1*60, "/"); // и продлим токен if (isset($_COOKIE["authC"])) { // если есть токен, то продлеваем его $z = $_COOKIE["authC"]; setcookie('authC',$z,time()+60*1); // продлилось удачно } echo('Сессия продлена!'); } }
не все смотрел)) но вкратце)) Если работает с сессиями и куками лучше хранить данные о клиенте в БД 1. Время жизни кук 7 дней (к примеру) записываем в них что чел прошел аутентификацию 2. Время жизни нативных сессии это пока сеанс работает 3. В базу записываем ИД сессии и ставим время записи и туда же записываем IP клиента и параметры браузера (md5($_SERVER['HTTP_USER_AGENT']) можно даже и IP и юзер агента в один хеш запихнуть и этот же ключ можно при желании положить в куку) 4. Когда человек заходит сначала смотрим что у нас в нативной сессии лежит.. если там ничего нет читаем куки и смотрим есть ли там наша запись.. если есть то проверяем его IP и хеш юзер агента. если есть и совпадают то восстанавливаем нативную сессию, если нет то предлагаем ввести логин и пароль)) ПЫСЫ при такой схеме нативные сессии можно даже в базу перенести.. а можно не переносить)) я и так и так делал)) работает одинаково))
пара вопросов все ж есть. время сессии нативной начинает считаться от последнего действия я так понимаю. те время сессии 20 минут. через 15 минут бездейтсвия я чего нибудь дернул - время пошло снова? Надо ли в данном случае куку и ее содержимое продлевать? по экспериментам вроде как ни моя часть куки ни phpessionid не продлеваются автоматом. есть ли какой нибудь сервис бесплатный, в котором можно было б прогнать скрипт на предмет sql injection?
@sergq, если реально хотите разобраться, может, попробовать сделать все без штатных сессий? Продления и т.п. обычно в логику закладываются. Продлевать лучше не на каждое обращение, а в пределах нек. времени до момента устаревания. Куку, естественно, продлевать нужно, причем можно с запасом, т.к. осн. контроль происходит не по ее времени жизни, а по серверным данным. Спрошу у приятеля, можно ли отобразить его скрытый коммент на эту тему вот тут: http://gency.ru/comment/64 (был скрыт по просьбе автора). Штатные сессии обычно используются, пока открыт браузер (спец. значение времени жизни сес. куки и не только). Иначе там до сих пор могут наблюдаться различные глюки, не соотв. документации и т.п. --- Добавлено --- Вы реально собрались пароль через GET-параметр передавать?