В поисках оптимальоного механизма авторизации в Symfony, сначала думал использовать sfGuard, но потом почему-то решил, что перепиливать его под себя неохота, когда можно взять из сабжа его приятные стороны. Одна из которых - запись в сессию при signin определенного remember_key.
Решил сделать так - при авторизации самого пользователя записать в сессию только специальный ключ, который будет меняться при каждом перезаходе, естественно фильтр будет следить за текущим состоянием данных пользователя с данным ключом. Данный вариант исключит подмену данных сессии у уже авторизованных пользователей ( isAuthenticated() == true ), на чужие, дабы обмануть фильтр и получить контроль над чужим аккаунтом.
P.S.
В sfGuard все сделано намного круче, но многого что там сделано мне нафиг не надо.
Линки:
http://www.symfony-project.com/
http://trac.symfony-project.com/wiki/sfGuardPlugin
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий