23. april 2013 - 14:20Der er
25 kommentarer og 1 løsning
Kan jeg et bruger navn og en hashkey til at logge ind paa api via curl
Kan jeg bruge en hashkey til at ind til min api, min hashkey indeholder email, secret, timestamp og salt.
det skal bruges til en betalings api jeg er helt paa herrens mark hvordan jeg skal lave min access til apien jeg havde lidt cpanel i oeje da jeg overvejede en hash loesning.
er der en maade man kan faa loginscripted til automatisk at laese det og logge brugeren ind, hash kunne implanteres i kryterede filer i stedet for i database, for ekstra sikkerhed uden for public_html. og kaldes med paths.
som sagt det her er helt nyt emne for mig, men skal finde en god loesning for sikkerhed da vi haandterer betalinger med scriptet. (updates af accounts betalinger via curl), fra andre sider saa alt er exposed over nettet derfor en form for kodning noedvendig foer det sendes til server fra brugerens hjemme side.
Ved signup genererer den hash vaerdi en gang for alle, vaerdien gemmes i database eller fil og brugeren faar en kopi, ved API kald checker du om vaerdien er korrekt?
Jeg ved slet ikke noget om det, mit cms system hasher allerede paa brugernes konties, men jeg har brug at brugere skal kunne access api uden at skal angive password, ved at sende en variable via POST i curl, i stedet for et reelt brugernavn password, for at goere det mere simpelt for brugeren at programere til api.
Hvad jeg er ved at lave er et complet lisens system, hvor brugeren skal kunne faa adgang ved at bruge et salt og en license code til forespoerge / sende data til api, med post Kommandoer.
Licenscode ligger i en fil paa brugerens hjemmeside salt skal angives i en variable i det script, der forespoerger sender.
Hash ligger i databasen eller kan ligge i filer, hvis det er mere sikkert.
jeg ved ikke om jeg er helt paa omveje med den ide jeg har. men som sagt saa er jeg helt blank hvordan til at goere det.
Jeg er kun kommet til at skulle genere Hash Jeg ingen check ingen ting endnu , og syntes ikke rigtig jeg kan finde nogle kode exempler, til at kunne genere og checke det.
min ide var at lave hash som laengere oppe give salt til brugeren gemme hash i enten filer eller i database sammen med datoen for hash men vil systemet kunne checke de ting udfra hashed eller er hash ulaeseligt selv for serveren.
saa selve api scriptet automatisk hentede de ting i databasen og brugte salt som er sendt via POST til scriptet, til at decode hashed og igen checke database, for om tingene hang sammen, og loggede brugere ind til at sende naeste kommando.
1. activate, suspend, terminate og edit checks samt modtage meddelse om ny udlobsdato for licensen
2. Oprette en ny licens til en hjemmeside.
selve check om licens er gyldig og paa rette plads er komplet.
nu skal jeg saa til at kigge lidt paa API saa en bruger / client kan have betaling og oprettelse og kunne rette indstillinger fra eget clientsystem paa sin hjemme side.
men sikkerhed skal vaere i top for det derfor hash og salt til adgangen.
Hvis man kunne putte musernameog mpassword og de to licence koder in i en hash med sha1 og et salt saa ville de skaere noget af koden.
Saa ville koden blive: $command="salt=bruger salt&command=createsub&name=Tom Dodi&username=tomdodi&email=tomdodi@some.com&domain23=tomdodi.com&domains=5&license=1&domain=1&path=0&IP=0&expiry=30&clientlogin=1";
hvis jeg har forstaaet ret at et hash kan laeses af serveren. Hvis ikke kan laeses saa er der ikke nogen grund til at taenke i det laengere og bare bruge usernavn, password og sende det til login med curl.
Mit cms system bruger et eller andet specielt med md5(userid og password) saa vidt jeg har kunne laese mig frem til i ducumentationen for cms systemet, og generer en 40 chars lang streng, indeholdende password og userid.
Det er fordi jeg er lidt paa herrens mark omkring det
et simpel spoergsmaaal, kan server aabne et hash og laese det eller er det en envejs krytering ??
api > kald fra extern hjemmeside med comandoer til at oprette, editere en lisens eller bare faa oplysningerne for en lisens.
Har brug for en form for kryptering til at sende brugernavne og passwords til lisens serveren, saa siden kan logge ind og faa oplysninger fra databasen, via POST commandoer gennem CURL.
hvis man kunne sende en krypteret streng med de oplysninger der skal bruges, som serveren saa kan aabne og laese.
Man kan ikke forvente at alle websites har et SSL cert, naar det en side uden for min control der sender og faar oplysninger.
Derudfra taenkte jeg at maaske et hash var loesningen
Jeg ved intet om det, det er mit problem det er helt nyt for mig, stadig ny i at kode PHP.
Andre skal ikke kunne laese strengen kun serveren, Passwords i databasen er allerede kodet, jeg bruger e107 CMS system til at styre login, uden at kalde header og footer til api. men stadig class2.php og et bruger class til master og sublicens, saa for at kunne faa oplysninger skal man vaere logget ind med sin bruger konto, via e107 login.
Hvad skal krypteres inden det sendes extern fra hjemmesiden:
Brugernavn Password (40 chars) speciel kodning med md5 og sha-256 tror jeg. Master lisens (40 chars). Sub licens (40 chars).
Server skal saa kunne aabne og laese det og logge ind som bruger og koere Komandoen og sende svaret retur til clienten og logge ud.
Form i login har username og userpass. som den sender til login.php.
En god idé ville nok være at læse den guide, jeg linkede til i #1 - alternativt prøve at slå begrebet 'hash' op på Wikipedia. Bare så du får en fornemmelse af, hvad det er, spørgsmålet handler om *o)
hej ole jeg har provet at laese den man det meste i den guide er bare tal der ikke saa meget om hvad jeg kan bruge det til ud over hvilke metoder er staerke og vil tage saa og saa mange aar om at bryde.
Men det ikke rigtigt det svar jeg har brug for, mit spoergmaal er kan en server laese hash og bruge informationerne eller er det en envejs kryption.
Det jeg har brug for er en kryptering af nogle data, som serveren kan laese men andre ikke kan, med mindre de er meget gode hackere.
passwords er allerede kodet saa det ikke saa meget det jeg har brug for, har brug for en loesning hvor jeg kan sende data til serveren kodet, indeholdende de ting jeg skrev laengere oppe,
Jeg forstaar ikke saa meget af den guide som var linket til. og syntes ikke rigtig den giver det svar jeg soeger :).
Jeg forstår, at du ikke har læst guiden - selvom du ikke rigtig vil være ved det. Det er ret uklogt, da den jo besvarer dit spørgsmål på et krystalklart og letforståeligt dansk, som du med garanti forstår. Men det kræver en indsats udover et henkastet blik og en fejlagtig konstatering af, at 'det er bare tal og noget, jeg ikke forstår og ikke har brug for'
Ja okay ole det over saa jeg envejs kryptering, saa hash er ikke hvad jeg soeger hmmm :)
Kan du give mig raad hvad jeg saa skal buge, for at kryptere nogle data der skal kunne laeses af server og ikke andre.
et password i min database ser saadan ud : 105215b35517410196e9be750d68e047 (oprettet ved sign up af cms)
selvfoelig kan jeg Obfuscate alting, men det giver heller ikke nogen meaning og goer det sloevt og er ikke 100% sikkert alligevel
Det jeg har brug for er noget med et password der sendes af clienten uden det password (salt eller hvad men kan) skal det ikke vaere muligt at kunne dekryptere data.
tak for dine svar, jeg har et problem mit internet har ikke kunnet gaa online i en uge nu har bestilt nyt, jeg vil komme tilbage til mit spoergsmaal saa snart jeg har net igen. er lige hos en ven nu for at checke min email. kan ikke arbejde herfra har ikke mine programmer her.
Jeg har 2 Licenser der skal sendes , men det overvejer at lave om nu saa det kun er brugernavn, Password og salt der skal sendes til API for at kunne logge ind.
Brugernavne og passwords er generet strenge. Saa bruger skal ikke signe op for at faa adgang det goer systemet selv med et nummer som brugernavn og et 10 char password, og sender en email med brugernavn og password samt salt.
Salt bliver ikke gemt i databasen, det er kun brugeren der har dette, saa hvis glemmer det skal der oprettes et nyt hash.
Email skal systemet faa paa tilbagemelding fra paypal.
Mangler stadig en form for kryptering mellem client og server saa password ikke sendes ukodet til serveren fra clientens website, da man stadig ikke kan regne med at alle clienter har et SSL certificat.
//get hash from DB mysqli_query ($con,"SELECT * FROM tbl where user_id='".$user_id."'"); while (Srow=(musqli_fetch_array($result)) $hashedpassword = ["$row["hash"];
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
