metsieder ( Philipp Freidl )




Vorwort


Aufgrund einiger aktuellen Projekte meinerseits, habe ich mich entschlossen, eine Benutzer Authentifizierung zu entwickeln, die Funktionalität und Sicherheit in sich vereint. Das es in dieser Richtung bereits sehr gute Lösungen gibt ist mir sehr wohl bekannt, jedoch möchte ich meine eigene Lösung entwickeln. Ich bitte daher Diskussionen ob der Sinnhaftigkeit wenn möglich zu unterlassen. Das Projekt soll weitgehend objektorientiert entwickelt werden um eine einfach Benutzung und ein größtmögliches Maß an Flexibilität zu ermöglichen.
Das Endergebnis dieses Projektes soll den Benutzern von Desginnation zur Verfügung stehen, beziehungsweise in Form einer Workshopreihe auch weniger versierten PHP-Programmieren aus verscheidensten Perspektiven erklärt werden.

Ziel


In erster Linie soll dieses Projekt es dem Anwender erleichtern Benutzerdaten zu validieren und Informationen über den angemeldeten Benutzer zu bekommen. Dies sollte jedoch in einer möglichst nicht manipulierbaren Art und Weise geschehen.

Aufruf


Ich bitte vor allem die versierteren PHP-Programmierer aus dieser Community, mich bei der Entwicklung zu unterstützen. Sei es durch Verwendung der zu entwickelnden Klassen, oder durch Kontrolle des Codes, sowie auch durch Einbringung eigener Ideen und Erfahrungen.
Veröffentlicht von: metsieder Veröffentlicht am: 31 Dec. 2007 Bookmarks: social bookmarking yigg it Linkarena Technorati Yahoo Mr. Wrong
Schlüsserwörter: Authentication Authentifizierung Benutzer PHP User

Note: +3, Hits: 3868 | Bewertung: Keine Berechtigung!



Themenverwandte Blogeinträge


Kommentar(e) (4)


ashiso sagt:

Hallo,
sicherheitsrelevante Aspekte habe ich ja schon in deinem aktuelleren Blog-Eintrag "kommentiert".
Ich finde es etwas zweckentfremdet an dieser Stelle darüber zu diskutieren.
Besser wäre es die Vorüberlegungen in einen Forum-Thread einfließen zu lassen.
Diesen könnte man ja auch splitten und in einem Sicherheitsaspekte von Webanwendungen, im anderen die konkrete Implementierung diskutieren.

Meine - ketzerisch angehauchten - Überlegungen zu einer Authentifizierungsklasse lauten folgendermaßen:
Um "ein größtmögliches Maß an Flexibilität zu ermöglichen" muss man sich bereits im Voraus über die spätere Integration Gedanken machen.
Da du ja "die versierten PHP-Programmierer" ansprichst, solltest du dich beim Design der Klasse(n) auch mit MVC beschäftigen.
Wie soll deine Klasse in die verschiedenen Schichten eingebunden werden?
Oft hilft ein Blick auf aktuelle Frameworks.
Hier werden aber weitere Fragen aufgeworfen:
Wie funktioniert die View-Schicht? Wie genau sind Controller mit dieser verwoben bzw. wann wird die Authentifizierung benötigt?

Um das zu lösende Problem zu skizzieren mache ich mal ein Beispiel:
Wird die Validierung der Eingaben aus einem Template, einem Model oder einem Objekt/Array ausgelesen?
Sprich, steckt ein Teil der Regeln in der View-Schicht oder eher in der Business-Schicht.

Ich persönlich bevorzuge den Ansatz, Regeln zur Validierung direkt in die entsprechenden <input>s ins Template zu stecken.
Somit entstehen keine unnötigen Abhängigkeiten und man kann sich auf andere Dinge konzentrieren - Sessionhandling zum Beispiel. ;)

Ein weiterer Punkt, der auch wieder View- und Business-Schicht tangiert, ist die Generierung von Ausgaben.
Wie und wo werden Fehlermeldungen (bei falschem Passwort etc.) ausgegeben bzw. wie stellt man diese der View-Schicht zur Verfügung?

Ein Thema, das mich persönlich sehr reizt, ist die Erweiterbarkeit der Klasse(n).
Was mache ich, wenn ich plötzlich eine Black-/Whitelist implementieren muss?
Oder nach fünfmaliger falscher Eingabe der Zugang für 10 min gesperrt sein soll?

Anstatt einzelne Komponenten fest zu koppeln, bietet sich hier die Eventgesteuerte Programmierung an.

Dies und einiges mehr muss beachtet werden.

Ich würde mich freuen, wenn im Zuge der Auth-Klasse(n) ein gut dokumentiertes, und vor allem Anwender freundliches Framework entstehen könnte.
Aber alles der Reihe nach. Ich bin schon gespannt wie es weitergeht!

Zuletzt bearbeitet am: 5 Jan. 2008 15:46:28

5 Jan. 2008 15:42:58 • Antworten


QXARE sagt:

interessant, würd mich über mehr freuen weil ich bis dato eigentlich noch nicht wirklich was in punkto Sicherheit gemacht hab und auch keinen Ansatz hätte was-wie unsicher ist oder nicht. (bis auf sql injection...)

1 Jan. 2008 14:26:54 • Antworten


metsieder sagt:

openid macht eigentlich was anderes aber egal ;)

31 Dec. 2007 20:01:03 • Antworten


Crash sagt:

OpenID macht doch sowas: http://de.wikipedia.org/wiki/OpenID

31 Dec. 2007 19:54:13 • Antworten



Anfang

<<

1

>>

Ende

Kommentar eintragen


!! Jetzt kostenlos anmelden oder einloggen und mitdiskutieren!