Самообучение по созданию сайтов.

Ну а Negezor вообще перегнул svk-у всего то надо написать простеникий сайт, лк или тип того. Сомневаюсь, что ему над заморачиватся о кластерах, репликацияй, сессиях в mysql и прочем. Ему же не шаред хостинг открывать в конце концов.

 

Вот ещё пример регистрации на Symfony, там подробно, но чёт не красиво

 

Я чет не понял, человек, который "хорошо разбирается в СИ подобных языках" не может разобраться с пыхом? Лол что?

 

Если ты куратор фирмы, тебя абсолютно не должно волновать, как написан сайт. Главное, чтобы работало и не сломали.
А если разработчик - какие загоны у заказчика будут. Если скажет "с нуля! У нас такая религия!", ну ок, с нуля. Если не скажет, то чем проще, тем лучше, главное, чтобы денег заработать.

Далеко не всегда так. Особенно если до этого были десктопные приложения, а тут веб-часть...

 

Да, но у токена должен быть expires, так что рекомендую: access_token и refresh_token.
Ещё рекомендую прочитать на эту статью хабра

 

Может быть, но при взаимодействии с токеном, а не сессией той же пыхи гораздо лучше. Так же это облегчит дальнейшую миграцию и развитие.

 

Тоже самое же. Тут вопрос уже где хранить сесии, стандарт файлы пхп или mysql. Но опять же, оно тебе на надо, используешь стандартную сессию. Это уже забота хостинга, как и где.

 

Ну так JWT токен хранит данные в себе, этого вполне хватает для информации первой важности (допустим ID пользователя или ещё его уровень доступа) при этом тебе не нужно открывать для этого файл или делать запрос к базе.

 

Та же сессия же. Ток назвали иначе.

 

Она immutable, а это значит что только чтение или иначе создание нового токена. Главной остаётся задача единого интерфейса для авторизации пользователя в API хоть для сайта или мобильного приложения.

 

ТС же не онлайн казино какое то делает. Ему просто сайт надо, самый обычный. Обычного php с сессиями хватит. Раздул проблему из ничего просто.

 

В прочем как и я
Но, разве плохо, что я хочу делать работу более качественно?)

А где написано, что я не могу разобраться с ПХП? Вся эта тема, направленна но поиск современной и актуальной информации в минимальные сроки.

Я, конечно, всегда наступаю на одну и ту же граблю, надеясь что где-то есть статья, которая актуально поясняет всё, что-бы не тратить время на поиск информации.

Вывод такой, что мне пришлось сначала искать туториал, по регистрации. Нашел, там использовалось md5 при шифровании, чистый mysql и в куках хранился логин и пароль. Затем пришлось совмещать с документацией php, заменяя подключение на PDO и шифрование на новые функции php. А затем читать token, так-как его упоминание в примере alexandrage и по совету Negezor про acces и refresh токены. В этом нет абсолютно ничего сложного, за исключением того, что это всплывает по мере опыта, а найти всё в комплекте я так и не смог, да и судя по тому, что никто не указал конкретного тутора, такого просто нет или где-то в дебрях.

Сами можете в этом убедится, введя в гугл "современная регистрация на сайте php".

А может я криворучка?) Как вы учились созданию сайтов? Наверняка же вы тоже когда-то искали информацию о том, как сделать регистрацию?

P.S. "А вообще я тупанул, что написал суда, а не, скажем, Toster. Но у меня сложилось впечатление, что тут обитают достаточно много продвинутых разработчиков, судя по спорам, которые я тут замечал"

 

acces и refresh токены нужны не для веба вообще, а для приложений. Можешь пропустить этот этап.

 

Ну это уже со знаниями языка приходит. Ты смотришь что там актуального по методам и прочему и пишешь свой современный сайт. Ну и ты же решаешь, юзать ли тебе готовые и тяжолые фреймворки, или же написать что то легкое простое и свое.

 

Ну, я так понял, это что-бы при угоне токена выходило из аккаунта?

Допустим пользователь произвёл авторизацию. Затем ему дают acces токен, допустим на день.
По истечению дня происходит повторное обновление токена.
Если кто-то угоняет сессию, то, в итоге, один из пользователей попробует аутентифицироваться с помощью старого токена и с аккаунта выйдет, заставив по новой вводить данные для авторизации.

 

Значит на сайте клоака безопасности. Если угоняют сессию. Такое бывает на форумах с плохой фильтрацией при записи постов в теме.

 

Про xss можно почитать тут https://habrahabr.ru/post/66057/.

 

Я вам упрощу покупаете Secure Sockets Layer
цитата:
Протокол SSL обеспечивает защищённый обмен данных за счёт двух следующих элементов
Аутентификация
Шифрование

• SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того, как приложение примет или передаст первый байт сообщения.

 

Поздравляю, снова лишь бы отписать от балды...
Сертификат никак не спасёт, если вместо кода решето.

 

Я как-то особо с этим делом не заморачивался раннее, но вижу что есть ещё чему обучаться, особенно насчёт дыр в коде нужно изучить вопрос, а то в институте 0 полезной инфы было, хорошо что купил диплом здесь http://diploved.com/