Сервис для внешней авторизации пользователей
Обсуждаем способы внешней авторизации
Есть ли такие системы авторизации? | ||
Да, существуют | 0 | |
Нет, это невозможно | 0 |
Одна страница
Распечатать
. Редактировалось 9 раз, последний — #1
Современные интернет-сервисы готовы предоставлять серьёзные возможности управления (в том числе, финансового). Если через общедоступные каналы связи пустить финансовые и управленческие потоки, это потребует серьёзных мер безопасности. Среди этих мер рассмотрим возможности авторизации (проверки прав доступа).
Чего вообще не хватает, так это теории о способах защиты информации
А также, не хватает графических способов представления систем раздельного доступа.
Где-то в Инете всё это есть. Осталось найти и принесть…
Интересные мысли опубликованы на У данного пользователя нет прав размещать ссылки! , но там не хватает рисунков и подробностей…
(термины мои))
Типы авторизации:- Прямая (как на форумах: логин-пароль), в том числе, по OpenID
- Относительная (при попытке пользователя выполнить авторизацию сервис выдаёт случайную последовательность, которую пользователь должен разместить по ранее указанной ссылке)
- Косвенная (по ссылкам берётся сторонний контент: заголовок и содержимое. Если ссылка для заголовка не задана, то в качестве заголовка берутся первые 80 символов содерджимого)
Чего вообще не хватает, так это теории о способах защиты информации
А также, не хватает графических способов представления систем раздельного доступа.
Где-то в Инете всё это есть. Осталось найти и принесть…
Интересные мысли опубликованы на У данного пользователя нет прав размещать ссылки! , но там не хватает рисунков и подробностей…
Предлагаю один из вариантов:
Составной ключ: часть ключа хранит пользователь, а другую часть хранит внешний сервис, третья часть хранится на сайте, куда требуется войти этому пользователю. Осталось обозначить безопасный алгоритм, …
Ещё одна идея: вместо пароля использовать информацию из прошлого сеанса (когда пользователь был успешно авторизован). В этом случае даже вход с другого устройства не будет разрешён: если для авторизации не предоставить специальный файл (который хранился на другом компьютере принадлежащего этому же пользователю).
. Редактировалось 1 раз, последний — #4
Идея о комбинированных паролях:
Для входа на все сайты человек запоминает лишь один простой пароль. Но, на самом деле, этот пароль является ключом к настоящему (оригинальному) паролю, который уже будет уникален для каждого интернет-сервиса.
Этот настоящий пароль можно хранить как на внешнем сервере, так и на компьютере пользователя (выбор конкретного способа определится на основе анализа рисков). А можно хранить и комбинировано… В случае комбинированного хранилища взлом не всех его составляющих означает невозможность заполучить уникальный пароль.
. Редактировалось 1 раз, последний — #5
Резервное хранилище.
Кроме основных способов входа, как правило, возможны дополнительные обходные (и довольно хлопотные) пути. Их применение оправдано в нестандартных случаях: когда пароли утеряны, украдены или недоступны.
Чем реже применяются способы резервного входа, тем труднее их использовать для несанкционированных действий.
Почитайте интереса ради про протокол OpenID. В нем, отчасти, эти идеи реализованы. Кроме того, сейчас достаточно часто используется авторизация через социальные сети (и ее поддержка есть даже в текущей версии IntB).
В дальнейшем у меня есть идея сделать возможность связывания профилей пользователя IntB на разных форумах (причем за основу взять все тот же OpenID), чтобы передавался не только логин и аватар, но и все настройки вообще, а также можно было находясь на одном форуме, получать уведомления о выбранных событиях на другом, но это в очень отдаленных планах.
В обозримом будущем (3.00 Release или 3.10) планируется также сделать API для авторизации через произвольный внешний источник для того, чтобы любители интегрировать сайт с CMS могли писать соответствующие задаваемые библиотеки.
В общем случае это неверно (или я не понял вашу мысль).
В дальнейшем у меня есть идея сделать возможность связывания профилей пользователя IntB на разных форумах (причем за основу взять все тот же OpenID), чтобы передавался не только логин и аватар, но и все настройки вообще, а также можно было находясь на одном форуме, получать уведомления о выбранных событиях на другом, но это в очень отдаленных планах.
В обозримом будущем (3.00 Release или 3.10) планируется также сделать API для авторизации через произвольный внешний источник для того, чтобы любители интегрировать сайт с CMS могли писать соответствующие задаваемые библиотеки.
_1_ написал(а):
Чем реже применяются способы резервного входа, тем труднее их использовать для несанкционированных действий.
В общем случае это неверно (или я не понял вашу мысль).
Критикуя — предлагай, предлагая — обосновывай!
4xpro.ru — мой личный сайт-мультиблог на Intellect Board.
. Редактировалось 4 раза, последний — #7
4X_Pro написал(а):
Почитайте интереса ради про протокол OpenID.
Хорошо.
Одна страница
Распечатать У вас нет прав для отправки сообщений в эту тему.