• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Авторизация в Web

  • Автор темы wowa
  • Дата начала
W

wowa

Как при открытии БД в Веб сделать регистрацию и т.д.????
Подскажите как лучше сделать, Если возможно какой-н примерчик списать, пожалуйста!
Делал поиск по форуму, что-то особо толкового не нашел
 
W

wowa

Программер , хм.. И что получится... Ты зайдешь ко мне на сайт.. Создашь док, и кто получится автором? ))
 
G

Guest

Ну я ведь зайду как авторизованный посетитель и авторство будет кому присвоить..Так в чем проблема ? Если нужно, чтобы сервер запрашивал авторизацию, в любом случае нужно убирать анонимуса

Просто создай в инет-юзерской книге еще одну группу, которую потом вносишь в ACL базы..В группу юзеров отбираешь уже по своему усмотрению

А если масштабы того требуют, делаешь для сайта форму регистрации..Посетитель регится, данные обрабатываются cgi-скриптом, агент вносит пользователей в базу регистрации, оттуда при желании управляешь доступом..Короче, все как обычно )
 
G

Guest

Добро, только последовательно...Короче, для начала тебе нужен какой-нибудь открытый ресурс, куда можно повесить форму регистрации, любая базейка на твое усмотрение. Значит, ваяешь форму, в которой юзер будет вбивать свои логин, пароль, ФИО, пол, возраст ну и что там еще тебе интересно о нем знать...Заполнив форму, нажимает кнопку "Зарегистрироваться"..Насколько помню, ты уже просвещен по теме запуска агента из веба. Так вот , здесь именно тот случай..По нажатию кнопки запускается агент, ловит документ, потрошит его поля и устанавливает истину, то есть все данные, которые внес юзер...Пока остановлюсь, спрошу, все ли понятно ?

Кстати, если тебе нужно защитить регистрацией не всю базу, а только какие нибудь отдельные документы или формы, вовсе необязательно так глубоко копать и возиться с ACL и серверной авторизацией, можно сыграть на WEbQueryOpen-ах
 
W

wowa

Программер сказал(а):
Добро, только последовательно...Короче, для начала тебе нужен какой-нибудь открытый ресурс, куда можно повесить форму регистрации, любая базейка на твое усмотрение. Значит, ваяешь форму, в которой юзер будет вбивать свои логин, пароль, ФИО, пол, возраст ну и что там еще тебе интересно о нем знать...Заполнив форму, нажимает кнопку "Зарегистрироваться"..Насколько помню, ты уже просвещен по теме запуска агента из веба. Так вот , здесь именно тот случай..По нажатию кнопки запускается агент, ловит документ, потрошит его поля и устанавливает истину, то есть все данные, которые внес юзер...Пока остановлюсь, спрошу, все ли понятно ?
Нажмите, чтобы раскрыть...
Тут все понятно

Вообщем задача такова! Обычная БД... Любой Пользователь заходит, создает док по форме, заполняет поля, сохраняет...
И все.. т.е. главная задача (поидеи), чтобы у автора документа было ИМЯ !!! Ну и конечно чтобы только он мог редактировать свой док (и админ) , ну вообщем стандартная ситуация
 
G

Guest

Ну тут уж придется повозиться...Значит, ты уже реализовал создание пользователем документа и теперь необходимо заставить его авторизироваться, прежде чем отдать созданный док на редактирование, я правильно понимаю ?
 
W

wowa

Программер , ну немного не так...
Я не дам ему создавать документ пока он не зарегистрируется и не войдет под своим логином....
 
S

Sandr

wowa сказал(а):
Программер , ну немного не так...
Я не дам ему создавать документ пока он не зарегистрируется и не войдет под своим логином....
Нажмите, чтобы раскрыть...

Суть дела не меняет, но если Вы в документах исползуете Authors и Readers поля, то это должна быть не просто регистрация и авторизация, которую мы могли бы наблюдать на обыкновенных ВЕБ ресурсах, а это должна быть полноценная регистрация пользователей Lotus Domino.

Мне приходилось делать альтернативную регистрацию пользователей (как не лотус пользователей), в этом сучае все зарегистрированные пользователи работали под одной айдишкой, но этот момент нужно рподумывать задолго до того, как приступат к разработке базы. Не все просто...
 
K

K-Fire

ИМХО, лучше организовать альтернативную регистрацию и аутентификацию. Особенно если на хосте где будет крутиться это веб-приложение, есть еще другие приложения. По опыту, использование родных лотусовых регистрации и аутентификации может привести к большому количеству непредвиденных проблем, особенно в области безопасности.
 
S

Sandr

K-Fire сказал(а):
ИМХО, лучше организовать альтернативную регистрацию и аутентификацию. Особенно если на хосте где будет крутиться это веб-приложение, есть еще другие приложения. По опыту, использование родных лотусовых регистрации и аутентификации может привести к большому количеству непредвиденных проблем, особенно в области безопасности.
Нажмите, чтобы раскрыть...

Я об этом же, но я же говорю, что это нужно было обдумывать до приступления к работе, а не после того, как база уже написана... :(
 
W

wowa

Sandr, ну допустим БД не написана....Как мне сделать "Вход", "Регистрацию"....
 
S

Sandr

wowa

При регистрации пользователя создаете профайл документ с ключем имя пользователя + пароль.
При авторизации пользователя получаете его профайл, пытаетесь получить профайл, если не получили - пользователь либо неправильно ввел имя и пароль, либо не зарегистрирован.

Доступ к документам придтся продумывать отдельно...
 
W

wowa

Sandr, насколько я понял можно сделать типа скрытой вью, где будут документы типа
Login | Password

Я правильно понял???
Пользователь нажимает "Войти", вводит Login, Password, Код проверяет обрабатывает, И если все совпало то ....., то как дальше??????
 
S

Sandr

Нет.
Смотрите в сторону db.getProfileDocument и @GetProfileField

При этом не забывайте хешить ключь. Во первых никто не будет знать пароль пользователя, во вторых по захешенному ключу поиск профайла быстрее работает...
 
S

Sandr

wowa

Это значит шифровать.
Смотри хелп по функции password
 
G

Guest

Одного не пойму - зачем здесь Readers - Autors и защита на уровне Lotus...Можно ведь обойтись одной только Web-регистрацией и ACL ..На фига усложнять задачу ?)
 
W

wowa

Sandr сказал(а):
Это значит шифровать.
Смотри хелп по функции password
Нажмите, чтобы раскрыть...

Понял.....

Sandr , Есть до этого пару непонятных моментов, объясни плз...


Sandr сказал(а):
При регистрации пользователя создаете профайл документ
Нажмите, чтобы раскрыть...
Как создать профайл документ? Или это будет обычный документ по обычной форме... только к нему обращаться через db.getProfileDocument и @GetProfileField

И как сделать "вход", если он правильно ввел логин и пароль,. т.е. все совпало!!
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ