Веб Глобальная система регистрации и авторизации

Данил зайди в skype :3

 

Ок )
Но он вроде открыт.
Доступ к API закрыт.(Белый список в действии)
После обновления распишу что да как.
И так, первый этап обновления я завершил и теперь расскажу как организована защита.
Запросы к API теперь очень сильно отличаются от начального варианта, второй пост в теме я позже поправлю.

Для получения доступа к сервису необходимо пройти процедуру регистрации проекта, после одобрения заявки проект добавляется в белый список и получает "API key". Этот ключ используется в основном для логирования и контроля запросов. (Например, с вашего проекта идет атака, для сохранения БД в чистоте ваш ключ блокируется и на контактный e-mail высылается новый, но только после окончания атаки; или мирный пример - вам нужно посмотреть статистику авторизации\регистрации и вы делаете соответствующий запрос)

Регистрация будет ручная, то есть каждая заявка будет рассматриваться мной индивидуально. (Возможно, позже будут ещё модераторы)

Теперь про фильтрацию запросов. Защита блокирует все запросы со всех отсутствующих в списке ip адресов. То есть идет обработка запросов только с определённых ip адресов и это адреса самих проектов. (Сервер или сайт или ещё откуда, но адрес известен системе и он постоянен)
В итоге лаунчеры не могут подключаться "напрямую", им придется подключиться к сайту, а уже сайт в свою очередь обращается к системе авторизации.(Сайт взят для примера, возможны другие схемы)
Для чего это сделано. Ну, во-первых, для снижения нагрузки на сервер авторизации, во-вторых для избежания блокировки сайта хостингером за перерасход ресурсов, в-третьих для снижения возможности атаки.

На случай блокировки. Если ваш "API key" будет заблокирован, то с вашего проекта нельзя будет регистрироваться и запросы авторизации так же будут отклонены. По этому, при реализации своих скриптов, учитывайте это и делайте кеширование данных игроков, чтобы на случай блокировки возможность авторизации оставалась.

Пока-что для регистрации можете обращаться ко мне в ЛС или скайп. Немного позже сделаю возможность оставить заявку на сайте + отображение очереди на модерацию.

Из улучшений планирую сделать глобальную систему скинов и отображение игрового статуса.(Типа "играет на таком-то сервере" или "5 минут назад зашел туда-то")

 

за 5 баксов берём стрессер и ложим этими 5 баксами все проекты подключенные к данной системе) Экономия, не нужно брать никакой ботнет за 500$, просто стрессер, просто 5 баксов)
Защита на стороне PHP bли ты на стороне сервера вручную ипы добавлять будешь? Ты такой смешной.
Просто бить по 3306 порту и ляжет вся системка. Хостингер F5 ложиться)
Внешние соединение со сторонними апи - это лишняя дыра.

 

100 гигабит для овх тоже изи организуешь?

 

Stresser разве что канал и сервер хостингера нагрузит, а на мой "аккаунт" нагрузка будет минимальна. Защита и на стороне php и на стороне apache. IP адреса действительно буду вручную добавлять, тем более что не так уж и много желающих. А уж IP игроков я точно добавлять не буду, ибо тогда смысла этой защиты нет.

Внешнее соединение на стороне игрового сервера или сайта ни какой дыры не делает, или ты собираешься на уровне магистрали пакеты перехватывать ? А на случай падения центрального сервера делается кеширование.

3306 ты будешь долбить в целях положить MySQL ? Тогда тоже не выйдет, так как я его не использую вообще.

Нормальный сервер у меня уже есть. По мере появления желающих подключиться к системе буду переносить на него, так как на хостингере я взял только для начала.

 

Отказоустойчивая система, на мой взгляд, вполне возможна. Это вопрос исключительно цены и прямых рук.
Арендуется больше фронт-енд серверов, который выполняют одинаковую задачу аутентификации игроков, а базы данных лежат на соседних серверах и доступны только с первых. Плюс какая-нибудь мастер-мастер репликация.

 

Ну что ты из скайпа пропадаешь :c

 

Зачем это? По-моему уже есть все для удобной регистрации/авторизации.

 

Иди из этой темы если не понятно зачем!

 

я как бы уточнить хочу.

 

Автор, у тебя рак мозга? Внешнее соединение которое передает персональные данные - это уже не норма! 100гб машинка? А я вижу только сайт на хостенгере. Чем ты будешь ее оплачивать? Свою систему платной сделаешь? Она и так нахер никому не нужна, а ты ее еще платной хочешь сделать? Моджанги до тебя сделали базу ууид и апи с ответами вида xml. Зачем велосипед?
Защита на стороне Пхп? Ты опять повторяешь свои ошибки)

 

Да, аж в восьмидесяти местах...

Если ты думаешь, что любое внешнее соединение, которое передает персональные данные это не норма, то тогда в интернете тебе тоже нечего делать. И про телефон забудь.

100гб чего ? Если жесткий диск, то не угадал. 250. Я поставил на хостингер только для начала, потом при необходимости перенесу.

Не волнуйся, платной делать не собираюсь.

Велосипед ? Да ты посмотри сколько этих велосипедов в интернете, а на улице ? Да их ещё больше. Те же машины. Вот зачем дофига разных производителей ? Зачем они одно и то же делают ? Не нравится пример с машинами, ну ладно вернемся к компу. Вот нафига apple делают свою макось ? Они же могли поставить ту же винду и заниматься только железками.
А делаю потому что хочу.

Защита, ещё раз повторюсь, не только на стороне php.

Ещё вопросы ?

 

До тебя так и не доперло, что я хотел сказать... Увы, мне тебя жаль.

 

У тебя что-то получилось ?)

 

Мне стало жутко лень, но я не вижу никаких проблем в создании такой системы.

 

Вот и я на свою тоже забил...

 

Если еще теплитесь надеждой сделать подобное можете присоединиться к моему проекту.

 

Можно по подробнее, где её найти ?

 

Зайди вк, я тебя закинул =)