Tvoje kritika není zrovna moc přínosná a ani mi nepomáhá.
CO TO MA SPOLECNEHO S VAZANIM SE NA JEDNU KONKRETNI IP ADRESU? TO TO
NEMAS ZABEZPECENO JINAK?
-jkt
Problém není v zabezpečení. Ale pokud používám choulostivá data (
načítám je ze zabezpečené databáze) tak je nemůžu nechat na pospas jiným!
Takže pokud mi chceš a umíš pomoci, konkrétní případ:
/class Login:
def check(cls, fn):
def _check(self, *args, **kwargs):
if cherrypy.session.has_key('userid'):
# Uživatel je zalogován; povol přístup
return fn(self, *args, **kwargs)
else:
# Uživatel není zalogován.
# Podívej se, zda se zrovna nepokouší připojit
try:
submit = kwargs['login']
user = kwargs['loginUser']
password = kwargs['loginPassword']
except KeyError:
# Ne, to nebyl pokus o zalogování. Pusť uživatele
# na stránku.
return self.loginPage(cherrypy.url())
# Nyní zkontroluj user id podle user a password
userrights = self.getUserId(user, password)
if userrights is None:
# Chybný username nebo password
return self.loginPage(cherrypy.url(), 'Neplatné
jméno nebo heslo.')
# Uživatel je zalogován, uložím userid v sessions
cherrypy.session['userid'] = user
return fn(self, *args, **kwargs)
return _check
check = classmethod(check)
/
Tohoto mechanizmu používám při volání zabezpečených stránek, kde
příchozího ověřuji v modulu /getUserId(user, password)
/
Jsem v lokální síti spolu s dalšími uživateli, kteří se také připojují
na stejné stránky, ale pod svým jménem a heslem.
Po skončení práce se odhlásím. O.K. Co se ale stane, když zavřu
prohlížeč a neodhlásím se?
Do doby, než session vyhnije na čas si někdo otevře přihlašovací stránku
a ejhle:
Je bez přihlášení zalogován na mém přihlášení. To je ten problém, který
řeším a zatím nevím jak.
IP, popřípadě MAC nebo něco na stránkách, co permanentně ověřuje, zda
jsem to stále já by asi zabránilo cizímu použít moje přihlášení.
Nebo úprava v programu Login, viz výše.
Nějaký konkrétní nápad ?
VL
_______________________________________________
Python mailing list
[email protected]
http://www.py.cz/mailman/listinfo/python
