Meddelande

Minska
No announcement yet.

Personal Web ID (PWID)

Minska
X
 
  • Filter
  • Klockan
  • Show
Clear All
new posts

  • Personal Web ID (PWID)

    Jag driver några sidor som kräver inloggning, för några månader sedan bestämde jag mig för att länka samma sidorna
    Så att användarna kunde logga in på alla sidor bara man var registrerad på en utav dessa.
    Jag började skissa upp lite olika förslag och resultatet blev Personal Web ID (PWID.NET).

  • #2
    Again stavas inte agin. Skicka inte lösenord i klartext. Använda öppna standarder som t.ex. OpenID.

    Det här är en funktion som redan finns. Så tänk på att användare som redan har konto hos Google, Facebook, Twitter mfl. redan har den här funktionaliteten.

    Kommentera


    • #3
      Att använda en inloggning som funkar på flertal sidor med personlig data skulle jag rekommendera att använda SSL (https)
      ..
      sen för övrigt; varför måste man ange kön?...

      Kommentera


      • #4
        Det är en god idé men som erciz säger så finns det redan välimplementerade varianter, som t.ex OpenID. Du hjälper inte till på något sätt genom att bygga ytterligare en sådan här tjänst, utan gör det tyvärr värre för den del av webcommunityn som försöker skapa en standard för universell login.

        Att vara kreativ och skapa idéer som hjälper är en god sak, men att förvirra och motverka existerande försök till standardisering är inte det.

        För att ge lite kritik på sidan i sig:
        Enkel och bra design. Loggan ser lite "skev" och kladdig ut (har mest med typsnittet att göra, med ojämna avstånd och bredd på tecknen) vilket ger ett oseriöst intryck. Dessutom behöver den lite mer luft (mer utrymme till närmaste kant, alltså mer grönt ovan och under). Mindre logotyp kan funka.
        Länkarna i menyn får kanske också lite väl lite utrymme, de får inte riktigt "plats".
        Lite mer färg i det vita hade nog gjort gott.
        Twitter-feeden verkar inte fungera som förväntat. Den rullar baklänges och börjar om utan avbrott. Den vanliga och mest logiska funktionen är väl ändå att man har en feed som alltid visar senaste inlägget längst upp och när det finns nya inlägg så fylls de på ovanifrån så att de äldre flyttas neråt.

        Kommentera


        • #5
          Jag stämmer in i "varför ska jag välja den här lösningen när jag redan har ett x som gör samma sak" och i "använd standarder som finns (openid och oauth bl.a)". Dessutom riskerar du att få problem med apit om du inte trycker in versionsnummer i urlen, typ: http://pwid.net/api/v1
          Saker som förändras ska alltid versionshanteras, på så sätt kan du släppa ett nytt api men samtidigt låta gamla klienter fungera ett tag framöver.
          Min alldeles egna directory listing.

          Kommentera


          • #6
            Jag stämmer in i "varför ska jag välja den här lösningen när jag redan har ett x som gör samma sak" och i "använd standarder som finns (openid och oauth bl.a)" samt "https är ett krav".

            Dessutom suger ditt api:
            • Du kommer få problem om du inte trycker in versionsnummer i urlen, typ: http://pwid.net/api/v1 Saker som förändras ska alltid versionshanteras, på så sätt kan du släppa ett nytt api men samtidigt låta gamla klienter fungera ett tag framöver.
            • Du måste se se till att svara med ett uppstyrt format "You will get back something like this:" håller inte, dels beskriver det inte hur formater ser ut eller vad det är. I dagsläget har du någon ogenomtänkt, dålig kopia av xml, med flera root-element skickat som text/html.
            • Du har helt enkelt inte läst , eller bestämt dig för hur du vill att det ska se ut. Gör det innan du släpper ditt första api.


            Här har du ett generellt dokument som avhandlar hur man skriver bra apir, allt är inte applicerbart för dig, men delar av det är:
            http://www.scribd.com/doc/33655/How-...Why-it-Matters
            Min alldeles egna directory listing.

            Kommentera


            • #7
              Nä, det duger inte!
              [citat]PWID stands for Personal Web ID and is a fast and secure method for online authentication[/citat]På vilket sätt är det secure?

              https är ett måste och självklart krypterar du väl lösenorden i din databas?!

              Kommentera


              • #8
                doggelito skrev: Visa inlägg
                Nä, det duger inte!
                https är ett måste och självklart krypterar du väl lösenorden i din databas?!
                En till sak att notera är att hasha (md5/sha1 etc.) och salta lösenorden är inte kryptering (vilket verkar många misstolka)

                Exempelvis denna klassen jag hitta vid ensbb google-sökning är riktigt mycket bättre att använda
                http://www.itnewb.com/v/PHP-Encrypti...rary-libmcrypt

                Kommentera


                • #9
                  Renegade8164 skrev: Visa inlägg
                  En till sak att notera är att hasha (md5/sha1 etc.) och salta lösenorden är inte kryptering (vilket verkar många misstolka)

                  Exempelvis denna klassen jag hitta vid ensbb google-sökning är riktigt mycket bättre att använda
                  http://www.itnewb.com/v/PHP-Encrypti...rary-libmcrypt
                  Man ska absolut INTE använda kryptering som går att dekryptera när man sparar sina lösenord. Det ska vara envägskryptering.

                  Kommentera


                  • #10
                    Lösenord behöver man aldrig dekrypteras.

                    Sparar man det krypterade/hashen i databasen, så när någon vill logga in så är det bara att kryptera/hasha lösenordet och jämföra med det som finns i databasen.

                    Så att använda md5, sha1, sha2 eller andra starkare funktioner är helt ok, vilken beror på vilken säkerhet man vill ha.
                    So long and thanks for the fish.

                    Tyvärr så har jag nu en person på min ignoreringslista. Personen ifråga höjer inte trivselfaktorn här, snarar tvärtom varför jag nu tackar för mig!

                    Kommentera


                    • #11
                      Jag har skrivit om lösenordshantering innan:
                      http://www.webforum.nu/showpost.php?...17&postcount=4
                      Min alldeles egna directory listing.

                      Kommentera


                      • #12
                        The_Hulk skrev: Visa inlägg
                        Man ska absolut INTE använda kryptering som går att dekryptera när man sparar sina lösenord. Det ska vara envägskryptering.
                        Ja det e klart, klassen jag länka är smart med de tre funktionerns, dock var jag otydlig/formulerade inlägget fel då jag syftade på PBKDF2-funktionen i klassen som skulle användas till att spara lösenordet.

                        Kommentera


                        • #13
                          The_Hulk skrev: Visa inlägg
                          Man ska absolut INTE använda kryptering som går att dekryptera när man sparar sina lösenord. Det ska vara envägskryptering.
                          Fransmännen tycker inte det. Men de äter ju grodor så...
                          Te audire no possum. Musa sapientum fixa est in aure.
                          Vad händer på Stora Aspön? | Nyx och Phobos | Steam | Xbox Live | Min LCHF-blogg

                          Kommentera

                          Working...
                          X