Jak wybrać bibliotekę uwierzytelniania dla CodeIgniter? [zamknięte]

Aktualizacja (14 Maja 2010):

Okazuje się, że rosyjski programista Ilya Konyukhov po przeczytaniu tego podniósł rękawicę i stworzył nową bibliotekę auth dla CI opartą na DX Auth, zgodnie z poniższymi zaleceniami i wymaganiami.

A wynik Tank Auth wygląda jak odpowiedź na pytanie OP. Zamierzam zaryzykować i nazwać Tank Auth najlepszą dostępną biblioteką uwierzytelniania dla CodeIgniter. / Align = "left" / biblioteka, która ma wszystkie funkcje, których potrzebujesz, a nie wszystkie, których nie masz:

Tank Auth

Plusy

• full featured
• Lean footprint (20 plików) biorąc pod uwagę zestaw funkcji
• Bardzo dobra dokumentacja
• proste i eleganckie projektowanie baz danych (tylko 4 tabele DB)
• większość funkcji jest opcjonalna i łatwo konfigurowana
• Obsługa plików językowych
• reCAPTCHA obsługiwane
• haki do System walidacji CI
• e-maile aktywacyjne
• Zaloguj się za pomocą adresu e-mail, nazwy użytkownika lub obu (konfigurowalne)
• nieaktywne konta automatycznie wygasają
• prosta, ale skuteczna obsługa błędów
Phpass jest jednym z najbardziej rozpoznawalnych i najbardziej rozpoznawalnych w świecie phpass.]}
• nie używa pytań bezpieczeństwa
• separacja danych użytkownika i profilu jest bardzo ładna
• bardzo rozsądny model zabezpieczeń wokół nieudanych prób logowania (dobra ochrona przeciwko botom i atakom DoS)

(Drobne) Wady

• kody utraconych haseł nie są hashowane w DB
[18]}Zawiera natywną (słabą) CAPTCHA, która jest miła dla tych, którzy nie chcą polegać na (należącej do Google) usłudze reCAPTCHA, ale naprawdę nie jest wystarczająco bezpieczna [19]}
• bardzo rzadka dokumentacja online (drobny problem, ponieważ kod jest ładnie udokumentowany i intuicyjny)

Pobierz Tank Auth tutaj

Oryginalna odpowiedź:

Wdrożyłem również własne(obecnie około 80% zrobione po kilku tygodniach pracy). Wypróbowałem najpierw wszystkie inne; FreakAuth Light, DX Auth, Redux, SimpleLogin, SimpleLoginSecure, pc_user, Fresh Powered i kilka innych. Żaden z nich nie był na równi, IMO, albo brakowało im podstawowych funkcji, z natury niepewne, lub zbyt nadęty jak na mój gust.

Właściwie, zrobiłem szczegółowe podsumowanie wszystkich bibliotek uwierzytelniania dla CodeIgniter kiedy je testowałem (tuż po nowym roku). FWIW, podzielę się z wami:

DX Auth

Plusy

• bardzo pełny opis
• średni rozmiar (25 + plików), ale udaje się czuć dość smukły
• doskonała dokumentacja, chociaż niektóre są w nieco złamanym języku angielskim
• Obsługa plików językowych
• reCAPTCHA obsługiwane
• Hooks do systemu walidacji CI
• e-maile aktywacyjne
• nieaktywne konta automatycznie wygasają
• sugeruje grc.com dla soli (nieźle jak na PRNG)
• banowanie z przechowywanymi ciągami "reason"
• prosta, ale skuteczna obsługa błędów

Cons

Pozwala tylko "zresetować" utracone hasło (zamiast pozwalać im wybrać nowe po reaktywacji)]}
• Homebrew pseudo-event model - dobre intencje, ale chybiony znak
• dwa pola hasła w tabeli użytkownika, źle styl
Użytkownicy mogą korzystać z dwóch oddzielnych tabel (jedna dla użytkowników "temp" - niejednoznacznych i zbędnych).]}
• używa potencjalnie niebezpiecznego hashowania md5
• nieudane próby logowania przechowywane tylko przez IP, nie przez nazwę użytkownika-niebezpieczne!
• Klucz Autologin nie hashowany w bazie danych-praktycznie równie niebezpieczny jak przechowywanie haseł w cleartext!
• System ról jest kompletnym bałaganem: funkcja is_admin z kodowanymi nazwami ról, is_role jest kompletnym bałaganem, check_uri_permissions jest bałaganem, cała tabela uprawnień to zły pomysł (URI może zmieniać i renderować strony bez ochrony; uprawnienia powinny być zawsze przechowywane dokładnie tam, gdzie znajduje się wrażliwa logika). Dealbreaker!
• Zawiera natywną (słabą) CAPTCHA
• interfejs funkcji reCAPTCHA jest brudny

FreakAuth Light

Plusy

• bardzo pełny opis
• w większości dość dobrze udokumentowany kod
• rozdzielenie danych użytkownika i profilu jest ładne dotyk
• Hooks do systemu walidacji CI
• e-maile aktywacyjne
• Obsługa plików językowych
• aktywnie rozwijany

Cons

• czuje się trochę nadęty (50 + plików)
• a mimo to nie ma automatycznego logowania cookie (!)
• nie obsługuje logowania zarówno nazwą użytkownika, jak i adresem e-mail
• wydaje się mieć problemy z UTF-8 znaków
[18]} wymaga dużo autoloadingu (utrudniającego działanie)
• źle zarządzany plik konfiguracyjny
• straszna separacja widoku-kontrolera, z dużą ilością logiki programu w widokach i wyjściami zakodowanymi na twardo do kontrolerów. Dealbreaker!
• zły kod HTML w dołączonych widokach
• Zawiera standard CAPTCHA
• Skomentuj debugowanie ECHA wszędzie
• wymusza określoną strukturę folderów
W przeciwieństwie do Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a, Ajax-a]}
• No max limit prób logowania - bardzo niebezpieczne! Dealbreaker!
• przejmuje walidację formularza
• używa potencjalnie niebezpiecznego hashowania md5

Pc_user

Plusy

• dobry zestaw funkcji dla swojego małego footprint
• lekki, bez wzdęcia (3 pliki)
• eleganckie Automatyczne logowanie ciasteczek
[18]} jest wyposażony w opcjonalną implementację testu (miły dotyk)

Cons

• używa starej bazy danych CI składnia (mniej bezpieczna)
• nie podłącza się do systemu walidacji CI
• nieintuicyjny system statusu (roli) (indeksy do góry nogami-niepraktyczne)
• używa potencjalnie niebezpiecznego hashowania sha1

Fresh Powered

Plusy

• small footprint (6 plików)

Cons

• brak wielu istotnych funkcji. Dealbreaker!
Wszystko jest zakodowane. Dealbreaker!

Redux / Ion Auth

Zgodnie zCodeIgniter wiki , Redux został wycofany, ale widelec Ion Auth jest silny: https://github.com/benedmunds/CodeIgniter-Ion-Auth

Ion Auth jest dobrze funkcjonalną biblioteką, która nie jest zbyt ciężka ani zaawansowana. W większości przypadków jego zestaw funkcji będzie więcej niż zaspokoić wymagania projektu.

Plusy

• lekki i prosty w integracji z CodeIgniter
• obsługuje wysyłanie wiadomości e-mail bezpośrednio z biblioteki
• dobrze udokumentowana online i dobra aktywna społeczność programistów / użytkowników
• prosty do wdrożenia w projekcie

Cons

• bardziej złożony schemat DB niż niektóre inne
• w dokumentacji brakuje szczegółów w niektórych obszarach

SimpleLoginSecure

Plusy

• Tiny footprint (4 pliki)
• minimalistyczny, absolutnie brak wzdęcia
• używa phpass do hashowania (excellent)

Cons

• tylko Logowanie, wylogowanie, tworzenie i usuwanie
• brak wielu istotnych funkcji. Dealbreaker!
• bardziej punktem wyjścia niż biblioteką

Nie zrozum mnie źle: nie chcę lekceważyć żadnej z powyższych bibliotek; jestem pod wrażeniem tego, co osiągnęli ich twórcy i jak daleko zaszli, i nie jestem powyżej ponowne wykorzystanie ich kodu do zbudowania własnego. Chodzi mi o to, że czasami w tych projektach nacisk przesuwa się z podstawowych "potrzeb" (takich jak twarde praktyki bezpieczeństwa) na bardziej miękkie "miłe dla oka", i to mam nadzieję zaradzić.

Dlatego: powrót do podstaw.

Uwierzytelnianie dla CodeIgniter done right

Oto moja minimalna wymagana lista funkcji z biblioteki uwierzytelniania. Tak się składa, że jest to podzbiór mojej biblioteki lista funkcji;)

1. mały ślad z opcjonalną implementacją testów
2. Pełna dokumentacja
3. nie wymaga automatycznego ładowania. Just-In-time ładowanie bibliotek dla wydajności
4. obsługa plików językowych; brak kodowanych łańcuchów
5. reCAPTCHA obsługiwane, ale opcjonalne
6. zalecane prawdziwe losowe generowanie soli (np. przy użyciu random.org lub random.irb.hr)
Facebook, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID, OpenID Connect, konto Google itp.)
7. Zaloguj się używając nazwy użytkownika lub e-maila
8. separacja danych użytkownika i profilu
9. e-maile do aktywacji i utraconych haseł
10. funkcja automatycznego logowania plików cookie
11. konfigurowalny phpass do hashowania (oczywiście poprawnie solone!)
12. haszowanie haseł
13. haszowanie kodów autologin
14. haszowanie kodów utraconych haseł
15. Hooks do systemu walidacji CI
16. nie pytania bezpieczeństwa!
Po stronie serwera, z opcjonalnym walidatorem po stronie klienta (Javascript)
17. wymuszono maksymalną liczbę nieudanych prób logowania za pomocą najlepszych praktyk przeciwdziałających zarówno atakom słownikowym, jak i DoS!
18. cały dostęp do bazy danych odbywa się za pomocą gotowych (związanych) instrukcji!

Uwaga: te ostatnie punkty to a nie super-wysoki poziom bezpieczeństwa, którego nie potrzebujesz do swojej sieci podanie. Jeśli biblioteka uwierzytelniania nie spełnia w 100% tych standardów bezpieczeństwa, nie używaj jej!

Zasadniczo, oto jak to jest: nie obchodzi mnie czy biblioteka auth oferuje wiele funkcji, Zaawansowane zarządzanie rolami, kompatybilność z PHP4, ładne czcionki CAPTCHA, tabele krajów, kompletne panele administracyjne, dzwonki i gwizdki -- jeśli Biblioteka faktycznie sprawia, że moja strona jest mniej bezpieczna, nie przestrzegając najlepszych praktyk. Jest to pakiet uwierzytelniania ; musi zrobić jedną rzecz dobrze: uwierzytelnianie. Jeśli się nie uda To czyni więcej szkody niż pożytku.

/Jens Roland