 | Apache :: Authticket.módulo de acesso baseado em cookie |
| Baixe Agora | |
Apache :: Authticket. Classificação e resumo
Propaganda
- Licença:
- Perl Artistic License
- Preço:
- FREE
- Nome do editor:
- Michael Schout
- Site do editor:
- http://search.cpan.org/~mschout/
Apache :: Authticket. Tag
Apache :: Authticket. Descrição
Módulo de acesso baseado em cookie Apache :: Authticket é um módulo Perl que fornece controle de acesso baseado no ticket. A teoria por trás disso é semelhante ao sistema descrito no águia book.Este módulo funciona usando cookies HTTP para verificar se um usuário está autorizado para visualizar uma página. Apache :: Authcookie é usado como mecanismo subjacente para gerenciar cookies. Este módulo foi projetado para ser tão extensível quanto possível. É bastante provável que você desejará criar sua própria subclasse do Apache :: Authticket para personalizar vários aspectos deste módulo (mostre suas próprias versões dos formulários, substitua os métodos do banco de dados, etc). Este sistema usa cookies para autenticar os usuários. Quando um usuário é autenticado através deste sistema, eles são emitidos um cookie consistindo do tempo, o nome de usuário do usuário, o tempo de expriação do cookie, uma versão "secreta" (descrita posteriormente) e uma assinatura criptográfica. A assinatura criptográfica é gerada usando o algoritmo MD5 nos dados do cookie e uma chave "secreta" que é lida de um banco de dados. Cada chave secreta também tem um número de versão associado a ele. Isso permite que o administrador do site emita um novo segredo periodicamente sem invalidar os tickets válidos atuais. Por exemplo, o administrador do site pode inserir periodicamente uma nova chave secreta no banco de dados periodicamente e liberar segredos que são mais de 2 dias de idade. Como o bilhete emitido para o usuário contém a versão secreta, o processo de autenticação ainda permitirá que os ingressos sejam autorizados desde que os segredos correspondentes existam na tabela de segredos de ticket. O conteúdo real e o comprimento dos dados secretos são deixados para o administrador do site. Uma boa escolha pode ser ler dados de / dev / random, descompacte-o em uma string hexadecimal e salve que o sistema deve ser razoavelmente seguro porque o endereço IP do usuário final é incorporado à assinatura criptográfica. Se o bilhete fosse interceptado, um invasor teria que roubar o endereço IP do usuário para poder usar o ticket. Além disso, como os ingressos podem expirar automaticamente, podemos ter certeza de que o bilhete não é válido por um longo período de tempo. Finalmente, usando o modo seguro do Apache :: Authcookie, o bilhete não é passado sobre conexões não criptografadas. Para atacar este sistema, um invasor teria que explorar tanto o MD5 Algorightm como SSL. As chances são, no momento em que o usuário poderia quebrar os dois, o ingresso não seria mais válido. Requisitos: · Perl.
Apache :: Authticket. Software Relacionado
