[dmitryst]

Нда, активность зашкаливает... Может, у кого есть пример обработки файла .htpasswd из php? Нужно туда добавлять или удалять юзеров с паролями, как это сделать из скрипта- не понятно (в гугле искал уже)

[Sham]

HTTP-аутентификация делается заголовками. htpasswd - это средствами сервера. Если скриптом, то и базу можно использовать.

[dmitryst]

Цитата Sham:

HTTP-аутентификация делается заголовками. »

да это я читал.. В .htpassdw писать что? "deny from all"? Или без разницы? Совсем не хочется, чтобы кто-то по прямым ссылкам заходил (в mod_rewrite я уже совсем запутался )

Еще вопрос... Пароль выдается на какой-то срок, скажем, 30 дней. Надо оповещать клиента перед окончанием действия его пароля. Я сделал так - пишу в два поля timestamp и timestamp+30 дней. Затем через cron буду запускать скрипт, сравнивающий текущий timestamp и записаный в БД, ну и, соответственно, отправляющий мейл когда надо. Неэлегантно, но сравнительно просто. Есть у кого какие предложения?

[Sham]

Цитата dmitryst:

В .htpassdw писать что? »

ничего туда не надо, там шифрованые пароли и логины, это фича apache (не PHP). Тут все есть про 401 и куча примеров внизу...

Цитата dmitryst:

пишу в два поля timestamp и timestamp+30 дней »

второе не нужно (сложение +30 дней не сильно грузит). Все элегантно и эстетично.

[dmitryst]

Цитата Sham:

второе не нужно (сложение +30 дней не сильно грузит). »

вот не понял, честно. Почему второе не нужно? У меня, скажем, три поля - "user", "kogda_vidan_pass", "kogda_zakonchitsya_pass" . В первом - юзер, во втором я ставлю timestamp когда юзер получил пароль, затем к этому timestamp добавляю 30 дней (в секундах), пишу в третье поле. Ну, и потом раз в день сравниваю значения из второго и третьего полей. Пишутся эти поля один раз .

Цитата Sham:

Тут все есть про 401 и куча примеров внизу... »

почитал/сделал. Есть папка, скажем, /uploads, ее надо защитить. Во-первых, из примеров не совсем понятно, что делать с полученным правильным паролем/пассом. Пока просто " header ("Location: $url");", но в саму папку можно зайти и без пароля. Нужен именно защищенный вход в папку, с выдачей скрипта всё понятно. Да, насчет .htpasswd я очепятался - .htaccess нужен. Но если я туда пишу "deny from all" - не зайти никак. Что делать?

[Sham]

зачем лишнее поле, если можно каждый раз считать +30 для проверки. другое дело, если сортировка или связка нужна...

если 401 только для папки с файлами нужно, то лучше htpasswd. Придется скриптом рулить htpasswd. тынц тынц. Логины фиксирум в базе и в htpasswd...

[dmitryst]

Цитата Sham:

зачем лишнее поле, если можно каждый раз считать +30 для проверки. »

и как оно будет выглядеть, по-вашему? Если я каждый раз буду добавлять +30 дней к текущей дате, так я буду ждать до второй эпохи Unix или пока разряды счетчика не переполнятся . Так что Вы, коллега, неправы... Проще сравнить число из базы с текущим, если разница положительная, то ничего и не делаем. Повторяю, скрипт планируется запускать раз в сутки, этого достаточно, чтобы заранее оповестить клиента.

за

Цитата:

тынц тынц.

спасибо (хотя я первую статью читал уже..)

[dmitryst]

Нашел тут скрипт для кодирования паролей и добавления в .htpasswd. Работает, проверил...

читать дальше »

PHP код:

<?php

$GLOBALS['_CRYPT_APR_MD5_64'] = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';

function _to64($value, $count){

$result = '';

$count = abs($count);

while(--$count) {

$result .= $GLOBALS['_CRYPT_APR_MD5_64'][$value & 0x3f];

$value >>= 6;

}

return $result;

}

function _bin($hex){

$rs = '';

$ln = strlen($hex);

for($i = 0; $i < $ln; $i += 2) {

$rs .= chr(array_shift(sscanf(substr($hex, $i, 2), '%x')));

}

return $rs;

}

function encrypt($string, $salt = null){

if (is_null($salt)) {

$salt = _genSalt();

} elseif (preg_match('/^\$apr1\$/', $salt)) {

$salt = preg_replace('/^\$apr1\$(.{8}).*/', '\\1', $salt);

} else {

$salt = substr($salt, 0,8);

}



$length = strlen($string);

$context = $string . '$apr1$' . $salt;

$binary = _bin(md5($string . $salt . $string));



for ($i = $length; $i > 0; $i -= 16) {

$context .= substr($binary, 0, ($i > 16 ? 16 : $i));

}

for ( $i = $length; $i > 0; $i >>= 1) {

$context .= ($i & 1) ? chr(0) : $string[0];

}



$binary = _bin(md5($context));



for($i = 0; $i < 1000; $i++) {

$new = ($i & 1) ? $string : substr($binary, 0,16);

if ($i % 3) {

$new .= $salt;

}

if ($i % 7) {

$new .= $string;

}

$new .= ($i & 1) ? substr($binary, 0,16) : $string;

$binary = _bin(md5($new));

}



$p = array();

for ($i = 0; $i < 5; $i++) {

$k = $i + 6;

$j = $i + 12;

if ($j == 16) {

$j = 5;

}

$p[] = _to64(

(ord($binary[$i]) << 16) |

(ord($binary[$k]) << 8) |

(ord($binary[$j])),

5

);

}



return

'$apr1$' . $salt . '$' . implode($p) .

_to64(ord($binary[11]), 3);

}

function _genSalt(){

$rs = '';

for($i = 0; $i < 8; $i++) {

$rs .=$GLOBALS['_CRYPT_APR_MD5_64'][rand(0,63)];

}

return $rs;

}





if (isset($login) and $login != "" and isset($pass) and $pass != "")

{

$file = fopen(".htpasswd","a");

$p = encrypt($pass)."\n\r";

$res=$login.":".$p;

fputs($file,$res);}

?>

[Sham]

Цитата dmitryst:

и как оно будет выглядеть, по-вашему? Если я каждый раз буду добавлять +30 дней к текущей дате, так я буду ждать до второй эпохи Unix или пока разряды счетчика не переполнятся »

короче, взаимные непонятки...

[dmitryst]

Цитата Sham:

короче, взаимные непонятки... »

объясняю. Вот вы зашли 1 января, зарегистрировались, вам дали пароль на 10 дней (например). Пишу в базу - "Sham", timestamp (от 1 янв), timestamp+10дней. Раз в сутки я проверяю разницу между вторым число и первым. Это не зависит ни от каких других факторов, всё уже прописано в базе, я считаю только разницу между третьим полем и вторым. Когда разница станет меньше чем 2 дня, к слову, вам придет письмецо с извещением, что действие пароля закончится через 2 дня. По-моему, проще некуда, да и подделать / хакнуть тут ничего не получится.

В остальном, так сказать, "жизнь налаживается" - сделал уже админку с добавлением/просмотром юзеров в .htpasswd. Работает без проблем, апач пароль принимает, хотя и ругается типа "не мой пароль, но сойдет" .
UPD: Нашел другой скрипт, переделал, теперь у апача претензий нет. Если кому нужно - выложу.