Вот код из соседней темы, показывающий основную механику авторизации: PHP: <?php $t = "12345"; //some random string if($_GET['t'] != $t) //for pass http://simple-php-auth.test/auth.php?t=12345 { header('Location: /otsosi.php'); } echo "Все свои, выдыхаем"; Если в качестве токена использовать рандомную 60-байтовую строку - брутфорс его уже уже не взломает. А если вместо get использовать post и https, так и вообще всё чудесно. А если добавить время экспирации и рефреш-токен - получим JWT ))) Так и живем. Пример этот вполне годный. Хорошо показывает суть авторизации как таковой. Если есть возражения и дополнения - прошу оформлять их конструктивно.
ясное дело надо что то с чем то сравнить))) капитан очевидность)) Твой код показывает как проверить что параметр гет чему то равен, это не авторизация, это херня а не пример. Пример к тому же будет выдавать ворнинги Не кажется что у тебя много а если? А если к твоему коду написать еще 500тыщ строк кода то ваще наверно фейсбук получится)))
Какой нафиг POST?! GET-запросы что уже не достойны авторизации? Куки – слыхал про такое? Я когда писал тебе в соседней ветке, находился в большом недоумении, почему для примера ты выбрал $_GET, а не $_COOKIE.
Отстой. Ни тебе сессий - как на другой странице узнать что авторизация была? Ни тебе хранения хешей в хранилище - а что делать если пользователей более одного? Эдакий антипаттерн как не надо делать... Зачем тебе это?
Вообще по-моему токены в адресе – отстой. Подходит только для каких-то «одноразовых акций». --- Добавлено --- С exit, да, тоже прикол --- Добавлено --- @Roman __construct, пойми, у меня к тебе претензии не по сути, а по виду оставляемых на форуме фрагментов кода (это началось с позапрошлой темы, но там ты дал нужные пояснения). Пусть будет простой, но железобетонный вариант. Я тяп-ляп-кода «для примера» на киберфоруме насмотрелся, отчасти поэтому и не просматриваю его больше.
Post, потому что при описанном подходе, токен содержится в url, а url можно найти в логах сервера, например, или в хистори браузера, и хана приватности)) Мало того, такой урл могут перехватить на любом промежуточном сервере, через которые идет трафик. А если есть SSL и разместить токен в тело Post-запроса - то его уже в промежуточных точках не подсмотрят Насчет cookie - ну х.з. Можно наверное и куки. Но лично мне get и post более близки и понятны
Инигаварика еще здесь нет ассиметричного шифрования да и вообще это не блокчейн а всё что не блокчейн - говно чисто по определению //в соседней теме был вопрос по авторизации - это был ответ на него, но возникли нюансы )) --- Добавлено --- не понял вопрос. что тебе нужно делать с GET-запросами?
Ты сам написал, что передавать токен и т.п. в адресе плохо (я об этом тоже выше отписался). Допустим, в POST-запросах ты передаешь эту инфу в «теле» (читай в POST-параметре или параметрах). Как передавать эту инфу в GET-запросах?