ProDomainer.ru - Клуб Домейнеров  
     

Войти через OpenID
Left Nav Справка ПортфолиоАукцион (39) Календарь Поиск Сообщения за день Все разделы прочитаны Right Nav

Left Container Right Container
 
Старый 07.08.2012, 18:51   #1
Член Клуба ProDomainer.ru
 

Чем надежно делать подпись?

md5 довольно ненадежная штука, как минимум за счет списков хешей в нете... обычно использовал md5(md5(md5($string))) и не парился, но...
Сейчас по определенным причинам думаю, что бы использовать в качестве хеша для подписи?

И еще. Я не хочу хранить у себя ключи пользователей.
Для проверки пароля обычно хватает просто хранить хеш, возможно с солью, или тройной как у меня. Тебе отправляют пароль, ты и проверяешь.
А если подписывать этим данные, то тут сложнее... Если делать манипуляции с ключем, то фактически ключем становится хеш....
Использовать полноценные механизмы с открытым ключем не очень хочется ибо клиентская часть может быть реализована кем угодно и в какой угодно среде....

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 08.08.2012, 01:22   #2
Член Клуба ProDomainer.ru
 

md5(base64($ccc))

Добавлено через 1 минуту
Ну можно еще md5(base64("$ccc$aaa$bbb"))

$aaa = time();
$bbb = md5(rand());

«А вы, друзья, как не садитесь,
Всё в музыканты не годитесь» ©
UFO вне форума   Ответить с цитированием
Старый 08.08.2012, 14:28   #3
Член Клуба ProDomainer.ru
 

Антон, немного не то. Я даже вот так думал:
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Ну а в 2DO у меня уже давно висит:
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Таймштамп в принципе за соль сойдет...

Главный вопрос - я не хочу у себя хранить таблицу ключей клиентских.
Причем именно ключей а не паролей.
Задача ПОДПИСЫВАТЬ запросы при работе через АПИ.
т.е. хеш используется для того, чтобы убедиться что противоположная сторона знает пароль. Но для этого мне тоже его надо знать.... можно использовать несимметричные ключи, но эти методы доступны не на всех хостингах (насколько я знаю).

Сейчас склоняюсь к тому чтобы иметь два варианта подписи - для прикладных решений hash_hmac, а для корпоративных - уж будьте любезны поставить нужные библиотеки.... но как-то не нра... Архитектура должна быть изначально проста.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 12.08.2012, 21:40   #4
Член Клуба ProDomainer.ru
 

сегодня изобретаем OAuth?) Тока круче конечно ))

http://rudevich.com
Александр вне форума   Ответить с цитированием
Старый 12.08.2012, 22:26   #5
Член Клуба ProDomainer.ru
 

Джон Уэйн, нет, вопрос в рамках вот этого.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 13.08.2012, 12:30   #6
Член Клуба ProDomainer.ru
 

Если мы говорим об авторизации приложений для работы с API - однозначно OAuth (судя по первому посту в теме мы именно об этом говорим).

http://rudevich.com
Александр вне форума   Ответить с цитированием
Старый 13.08.2012, 13:16   #7
Член Клуба ProDomainer.ru
 

Джон Уэйн, я именно про подпись говорю....
Как запросы АПИ подписывать? там же человека нет....

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 13.08.2012, 15:35   #8
Член Клуба ProDomainer.ru
 

Ну правильно. Юзер проходит авторизацию, получает ключ разработчика, после чего получает request token, потом access token и refresh token. Их он сохраняет и приложение может работать через них без запросов данных от пользователя.

http://rudevich.com
Александр вне форума   Ответить с цитированием
Старый 13.08.2012, 16:58   #9
Член Клуба ProDomainer.ru
 

Саш, у кого получает?
Информация доступна только членам Клуба :
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Схема то должна быть простая, чтобы сторонние разрабы не заморачивались если что с библиотеками и т.п. А так я бы и AES использовал и в ус не дул....

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 13.08.2012, 17:31   #10
Член Клуба ProDomainer.ru
 

Ну дык чтобы ему доверять он должен пройти процедуру какую-нить. Типа бабла закинуть итп.
Ты же говоришь о множестве клиентов (приложений)..

http://rudevich.com
Александр вне форума   Ответить с цитированием
Старый 13.08.2012, 17:39   #11
Член Клуба ProDomainer.ru
 

Ну смысл в том, чтобы не хранить ключи пользователей у себя. Не в том, чтобы кто-то третий их хранил, а чтобы они были только у самого пользователя. В идеале это асимметричное шифрование. Но в базисе его нет. Разве что таскать с собой библиотечку на пхп реализующую AES, наверняка есть такая... Или забить и таки у себя хранить....

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
Быстрый переход


Часовой пояс GMT +4, время: 21:50.