Для тех, кто не в теме, (а стоило бы), есть два различных процесса: аутентификация и авторизация... и сегодня про аутентификацию в Yii 2:

Аутентификация в Yii 2. Инструкция на русском языке.

Если не вдаваясь в подробности, то:

👽👀 Аутентификация ☠🙀 — это сам процесс проверки подлинности пользователя, чтобы убедиться, что он является тем, за кого себя выдает. Для аутентификации пользователи могут вводить логин и пароль, биометрические данные или другие методы идентификации.

😎👀 Авторизация 👺🙈 — это процесс проверки прав доступа пользователя к определенным ресурсам или функциям. Он проводится после успешной аутентификации.

Всё остальное (как это всё замутить в php коде) всегда подскажет Яндекс (и, возможно даже Google). 🤣

Читаем, понижаем уровень своей компьютерной безграмотности 😜, потому что...

Продолжение преследует! ✌😸🏴‍☠

Процесс аутентификации в php-фреймфорке Yii 2:

Аутентификация во фреймворке Yii 2

Для того, чтобы не пропадали серебряные ложки из праздничного сервиза, нужно ограничить к ним доступ и выдавать их поштучно под залог и расписку, предварительно посмотрев в паспорт и запросив подтверждение через Госуслуги, - не вражеский ли шпион пытается получить доступ к заветному запасу серебра в отдельно взятом буфете! ✌👻🏴‍☠

Если это не ложки, а сайт (по какой-то причине делающийся на Yii), то тут поможет инструкция о том, как работает аутентификация. 😜

В общих чертах, - нужно использовать интерфейс IdentityInterface, настроив работу компонента User. (С ума сойти! 🤪) Но, кому нужно, тот разберётся, - всё же по-русски: с примерами и разъяснениями... Так что...

Продолжение преследует! ✌😸🏴‍☠

На этот раз про Jetstream Laravel:

Материалы по теме Jetstream Laravel

По ссылке выше находится полный перевод инструкции по Jetstream Laravel на состояние года-два тому назад. За это время ларавельцы (очумелые умельцы) успели плотно поработать с этим программным пакетом для сайта. Основная функция Jetstream - это создание интерфейса для пользователей сайта (регистрация, аутентификация), а также приятная фишка - это группы пользователей.Возможно, доберусь до актуализации перевода со СШАмериканского на человеческий... но это не точно.

✌😺🏴‍☠

Для параноиков и трудяжек, которые фигачат скрипты на продажу, нужно ограничить доступ к собственным файлам разработки. И в Composer есть куча способов того как это сделать!

Руководство Composer по Аутентификации для приватно размещенных пакетов и репозиториев.

Если вам кажется, что за вами следят, это вовсе не значит, что вам кажется. 😜

В веб-приложении есть два варианта защиты экрана аутентификации:

1. Если пользователь не аутентифицирован, перенаправить его по пути /sign-in:
   
   
   
   
   


2. Если пользователь не аутентифицирован, показать ему форму входа по URL страницы, которую он пытался открыть, без перенаправления и отдельного пути:
   
   
   
   
   

Первый подход использовался на ранних этапах веба, потому что тогда страницы были неизменяемыми, и казалось логичным иметь отдельный URL просто потому, что в нём была форма и больше никакого другого контента.



Для настройки таких перенаправлений создаются страницы без проверки аутентификации, а проверка выполняется какими-нибудь функциями, вызываемыми на этапе маршрутизации. Они гарантируют, что целевые страницы будут открываться, только если пользователь аутентифицирован.
Читать дальше →

https://habr.com/ru/post/713058/?utm_source=habrahabr&utm_medium=rss&utm_campaign=713058

SAML является одним из самых распространенных протоколов аутентификации, который используется для реализации технологии единого входа. Сотрудник предприятия, который авторизовался в корпоративном приложении SAML впоследствии может буквально в один клик входить в другие корпоративные приложения, не запоминая множество сложных паролей и без необходимости постоянно их менять. Это делает аутентификацию пользователей более простой, удобной и безопасной. В данной статье мы расскажем о том, как интегрировать Carbonio с корпоративным приложением SAML.

Читать далее

https://habr.com/ru/post/714136/?utm_source=habrahabr&utm_medium=rss&utm_campaign=714136

Как известно, пароль — только первый этап аутентификации, причём наименее надёжный. Пароль можно перехватить во время ввода (с клавиатуры или экрана), в процессе передачи на сервер, подобрать брутфорсом, скопировать из места хранения (в том числе с сервера компании, безопасность которого нам не подконтрольна) или узнать у человека. Даже наличие парольного менеджера не слишком улучшает ситуацию.



Двухфакторная аутентификация (2FA) сегодня обязательна, потому что второй фактор и на порядок увеличивает усилия для взлома. Стандартный второй фактор — это телефон, куда приходит дополнительный код. Ещё один дополнительный фактор — аппаратный ключ безопасности, который невозможно скопировать. Такой ключ может защищать доступ к вашему парольному менеджеру.



Давайте посмотрим, как сделаны такие ключи, кто их выпускает. И самое главное — как их сделать ещё лучше.
Читать дальше →

https://habr.com/ru/post/709728/?utm_source=habrahabr&utm_medium=rss&utm_campaign=709728

Утверждение, что пароль не самый надежный способ защиты, вряд ли кто-то подвергнет сомнению. Кто же спорит: пароль — это не всегда удобно. И небезопасно. Их трудно запомнить, из-за чего люди порой выбирают самые неудачные и используют их снова и снова. Пароли также легко поддаются фишингу, причем злоумышленники постоянно придумывают всё более изощренные виды атак. Альтернативы паролям есть, и наиболее перспективную из них мы рассмотрим. И это WebAuthn.

Читать далее

https://habr.com/ru/post/699386/?utm_source=habrahabr&utm_medium=rss&utm_campaign=699386

Сегодня утром меня разбудили неожиданные SMS

Кажется, я поделился своим кодом.

Странно. Не припоминаю, чтобы я пользовался PayPal во сне. Однако такое происходит. Кто-то периодически вводит ваш email на сайте и нажимает «Forgot password». Подробности — к старту нашего курса «Белый хакер».

Читать дальше →

https://habr.com/ru/post/697750/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697750

Я часто путаю понятия авторизации и аутентификации между собой, поэтому решил создать материал, который закрепил бы эти понятия через какой-то практический опыт.

Хотелось создать статью, которая поэтапно раскроет базовые концепции аутентификации и авторизации на практике, после чего можно применять эти знания, чтобы реализовать свою кастомную аутентификацию и примерно понимать, как она работает в очередном пакете для django-rest-framework, flask или fastapi. А вообще в целом эти концептуальные знания должны пригодиться(надеюсь) и для реализации аутентификации в других экосистемах типа go, rust, nodejs. В статье есть упрощения, код для показательных целей.

Читать далее

https://habr.com/ru/post/682170/?utm_source=habrahabr&utm_medium=rss&utm_campaign=682170

Эта статья повествует о наиболее распространенном методе обмена токенами в потоке OpenID Сonnect: грантах [grants]. Обещаем – путешествие будет увлекательным, так что устраивайтесь поудобнее.

Читать далее

https://habr.com/ru/post/670628/?utm_source=habrahabr&utm_medium=rss&utm_campaign=670628

Инженеры FIDO Alliance и авторы WebAuthn убеждены, что уже в ближайшее время можно будет отказаться от паролей. Это мнение поддерживают ИТ-корпорации и облачные провайдеры. Но, разумеется, не всем такая перспектива кажется радужной.

Обсудим разные точки зрения на этот вопрос.

Читать далее

https://habr.com/ru/post/670446/?utm_source=habrahabr&utm_medium=rss&utm_campaign=670446

https://habr.com/ru/post/668104/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668104

Встроенные в gRPC способы проверки прав справляются со своими задачами, но накладывают ряд ограничений и не дают возможность писать сложные варианты проверок без «оригинальных» инженерных решений. А тот, кто хоть раз грешил обходом ограничений, знает, чем это чревато.

В одном из проектов мы решили попробовать упростить процесс валидации данных при внешней интеграции, соблюдая все правила безопасности. Шалость удалась:)

Наш backend-разработчик — Александр — нашел-таки то самое «оригинальное» инженерное решение. Решили поделиться с вами, чтобы и вам страдать не приходилось.

Оригинальное инженерное решение для упрощения аутентификации при вызове удаленных процедур по gRPC: proto-файл и реализация на Java.

Читать далее

https://habr.com/ru/post/667616/?utm_source=habrahabr&utm_medium=rss&utm_campaign=667616

Привет, Хабр! В одном из постов блога мой коллега Иван писал о нашем блокчейн-сервисе для онлайн-голосований WE.Vote. Он подробно разобрал, как работает WE.Vote с точки зрения технологий. Но чтобы сервисы удаленного голосования можно было использовать для принятия официальных решений юрлиц, не хватает еще одного важного компонента — достоверной верификации участников. В России для этого можно провести интеграцию с ЕСИА (Единой Системой Идентификации и Аутентификации) — проще говоря, с Госуслугами. Интеграция эта заметно отличается от интеграции с другими oauth2-сервисами, как, например, Google или VK. В этом посте мы постараемся помочь тем, кто захочет интегрировать ЕСИА в свой сервис через стек, подобный нашему, а также дадим несколько полезных ссылок по ЕСИА в принципе.

Читать далее

https://habr.com/ru/post/666894/?utm_source=habrahabr&utm_medium=rss&utm_campaign=666894

Многие новички до сих пор попадают в тупик при написании простейшей аутентификации в PHP. На Тостере с завидной регулярностью попадаются вопросы о том, как сравнить сохраненный пароль с паролем полученным из формы логина. Здесь будет краткая статья-туториал на эту тему.

Disclaimer: статья рассчитана на совершенных новичков. Умудрённые опытом разработчики ничего нового здесь не найдут, но могут указать на возможные недочёты =).

Читать далее

https://habr.com/ru/post/665602/?utm_source=habrahabr&utm_medium=rss&utm_campaign=665602

Меня зовут Андрей Рождествин, я QA-специалист СберМаркета. После роста заказов аутентификация на монолите перестала с ними справляться. Я расскажу, как мы перевели её на микросервис и подружили с ним мобильное приложение.

В статье я рассказываю весь алгоритм переезда по шагам и как решить проблемы, с которыми мы столкнулись.

Читать далее

https://habr.com/ru/post/662467/?utm_source=habrahabr&utm_medium=rss&utm_campaign=662467

Виктор Попов, техлид DevOps-команды в X5 Tech и спикер курса «Безопасность проекта: аутентификация в Keycloak», подготовил туториал. В нём он рассказывает, как настроить Kerberos аутентификации в Keycloak и как подготовить браузеры для работы.

Читать далее

https://habr.com/ru/post/661209/?utm_source=habrahabr&utm_medium=rss&utm_campaign=661209