Обновление (14 мая 2010 г.):
Оказывается, российский разработчик Илья Конюхов, прочитав это, взял вызов и создал новую библиотеку аутентификации для CI на основе DX Auth, следуя рекомендациям и требованиям ниже.
И полученный Tank Auth выглядит как ответ на вопрос ОП. Я собираюсь выйти на конечность и назвать Tank Auth лучшей библиотекой аутентификации для CodeIgniter, доступной сегодня. Это непревзойденная библиотека, в которой есть все необходимые функции, и ни одна из тех вещей, которые вам не нужны:
Tank Auth
Pros
- Полнофункциональный
- Lean footprint (20 файлов) с учетом набора функций
- Очень хорошая документация
- Простой и элегантный дизайн базы данных (всего 4 таблицы БД)
- Большинство функций являются дополнительными и легко настраиваются
- Поддержка языковых файлов
- reCAPTCHA поддерживается
- Присоединяется к системе проверки CI
- Письма об активации
- Войти с помощью электронной почты, имени пользователя или обоих (настраивается)
- Срок действия неактивированных аккаунтов истекает
- Простая, но эффективная обработка ошибок
- Использует phpass для хеширования (а также хеширует коды автологинов в БД)
- Не использует вопросы безопасности
- Разделение данных пользователя и профиля очень приятно
- Очень разумная модель безопасности при неудачных попытках входа в систему (хорошая защита от ботов и DoS-атак)
(Незначительные) Минусы
- Утерянные пароли не хешируются в БД
- Включает встроенную (плохую) CAPTCHA, которая хороша для тех, кто не хочет зависеть от (принадлежащей Google) службы reCAPTCHA, но на самом деле она недостаточно безопасна
- Очень скудная онлайн-документация (небольшая проблема здесь, так как код хорошо документирован и интуитивно понятен)
Скачать Tank Auth можно здесь
Оригинальный ответ:
Я также реализовал свою собственную (в настоящее время около 80% сделано после нескольких недель работы). Я попробовал все остальные в первую очередь; FreakAuth Light, DX Auth, Redux, SimpleLogin, SimpleLoginSecure, pc_user, Fresh Powered и некоторые другие. IMO, ни один из них не был на высоте, либо у них не было базовых функций, изначально небезопасных, либо слишком раздутых на мой вкус.
На самом деле, я сделал подробный обзор всех библиотек аутентификации для CodeIgniter, когда тестировал их (сразу после Нового года). FWIW, я поделюсь им с вами:
DX Auth
Pros
- Очень полнофункциональный
- Средний размер (более 25 файлов), но он чувствует себя довольно стройным
- Отличная документация, хотя некоторые на немного ломаном английском
- Поддержка языковых файлов
- reCAPTCHA поддерживается
- Присоединяется к системе проверки CI
- Письма об активации
- Срок действия неактивированных аккаунтов истекает
- Предлагает grc.com для солей (неплохо для PRNG)
- Запрет с сохраненными строками 'разум'
- Простая, но эффективная обработка ошибок
Cons
- Только позволяет пользователям «сбрасывать» утерянный пароль (вместо того, чтобы позволить им выбрать новый после повторной активации)
- Доморощенная модель псевдо-события - хорошее намерение, но не соответствует цели
- Два поля пароля в пользовательской таблице, плохой стиль
- Используются две отдельные пользовательские таблицы (одна для временных пользователей - неоднозначная и избыточная)
- Использует потенциально небезопасное хеширование MD5
- Неудачные попытки входа в систему сохраняются только по IP, а не по имени пользователя - небезопасно!
- Ключ Autologin не хэшируется в базе данных - практически так же небезопасно, как хранение паролей в открытом тексте!
- Ролевая система представляет собой полный беспорядок: функция is_admin с жестко запрограммированными именами ролей, is_role полный беспорядок, check_uri_permissions - беспорядок, вся таблица разрешений - плохая идея (URI может измениться и сделать страницы незащищенными; разрешения всегда должны храниться точно где чувствительная логика). Dealbreaker!
- Включает в себя родную (бедную) капчу
- Интерфейс функции reCAPTCHA беспорядочный
FreakAuth Light
Pros
- Очень полнофункциональный
- В основном довольно хорошо документированный код
- Разделение данных пользователя и профиля - приятное прикосновение
- Присоединяется к системе проверки CI
- Письма об активации
- Поддержка языковых файлов
- Активно развивается
Cons
- Чувствует себя немного раздутым (более 50 файлов)
- И все же ему не хватает автоматического входа в систему cookie (!)
- Не поддерживает логины с именем пользователя и электронной почтой
- Кажется, есть проблемы с символами UTF-8
- Требует много автозагрузки (снижение производительности)
- Плохо управляемый файл конфигурации
- Страшное разделение View-Controller, с большим количеством программной логики в представлениях и выводом, жестко запрограммированным в контроллеры. Dealbreaker!
- Плохой HTML-код во включенных представлениях
- Включает некачественную капчу
- Комментируемые отладочные отголоски везде
- Форсирует определенную структуру папок
- Формирует определенную библиотеку Ajax (может быть переключена, но не должна быть там в первую очередь)
- Максимальное ограничение на попытки входа в систему - ОЧЕНЬ небезопасно! Dealbreaker!
- Проверка формы угонщиков
- Использует потенциально небезопасное хеширование MD5
pc_user
Pros
- Хороший набор функций для его крошечного следа
- Легкий, без раздувания (3 файла)
- Элегантный автоматический cookie-вход
- Поставляется с дополнительной тестовой реализацией (приятное прикосновение)
Cons
- Использует старый синтаксис базы данных CI (менее безопасный)
- Не подключается к системе проверки CI
- Вроде неинтуитивный статус (роль) системы (индексы вверх ногами - нецелесообразно)
- Использует потенциально небезопасное хэширование sha1
Свежий Приведенный в действие
Pros
- Небольшая площадь (6 файлов)
Cons
- Не хватает многих существенных функций. Dealbreaker!
- Все жестко закодировано. Dealbreaker!
Redux / Ion Auth
Согласно вики CodeIgniter , Redux больше не выпускается, но форк Ion Auth набирает силу: https://github.com/benedmunds/CodeIgniter-Ion-Auth
Ion Auth - отличная библиотека, не слишком тяжелая и не слишком продвинутая. В большинстве случаев его набор функций будет более чем соответствовать требованиям проекта.
Pros
- Легкий и простой в интеграции с CodeIgniter
- Поддерживает отправку писем прямо из библиотеки
- Хорошо документированный онлайн и хорошее активное сообщество разработчиков и пользователей
- Просто внедрить в проект
Cons
- Более сложная схема БД, чем у некоторых других
- Документация не хватает деталей в некоторых областях
SimpleLoginSecure
Pros
- Крошечный след (4 файла)
- Минималистичный, абсолютно без раздувания
- Использует phpass для хеширования (отлично)
Cons
- Только войти, выйти, создать и удалить
- Не хватает многих существенных функций. Dealbreaker!
- Больше отправной точки, чем библиотеки
Не поймите меня неправильно: я не имею в виду неуважение к любой из вышеперечисленных библиотек; Я очень впечатлен тем, чего достигли их разработчики, и как далеко продвинулся каждый из них, и я не стесняюсь повторно использовать часть их кода для создания своего собственного. Я имею в виду, что иногда в этих проектах акцент смещается с основных «нужных» (таких как жесткие меры безопасности) на более мягкие «приятные», и я надеюсь, что это исправит ,
Поэтому вернемся к основам.
Аутентификация для CodeIgniter выполнена правильно
Вот мой МИНИМАЛЬНЫЙ требуемый список функций из библиотеки аутентификации. Он также является подмножеством списка возможностей моей собственной библиотеки;)
- Крошечный след с дополнительной реализацией теста
- Полная документация
- Автозагрузка не требуется. Своевременная загрузка библиотек для производительности
- Поддержка языковых файлов; нет жестко закодированных строк
- reCAPTCHA поддерживается, но необязательно
- Рекомендуемое ИСТИННОЕ случайное образование соли (например, используя random.org или random.irb.hr)
- Дополнительные надстройки для поддержки входа в систему от третьих лиц (OpenID, Facebook Connect, Google Account и т. Д.)
- Войти используя имя пользователя или электронную почту
- Разделение данных пользователя и профиля
- Письма для активации и утерянных паролей
- Функция автоматического входа в cookie
- Конфигурируемый phpass для хеширования (конечно, соленый!)
- Хеширование паролей
- Хеширование кодов автологинов
- Хеширование утерянных паролей
- Присоединяется к системе проверки CI
- НЕТ вопросов безопасности!
- Принудительная политика надежных паролей на стороне сервера с дополнительным средством проверки на стороне клиента (Javascript)
- Максимальное количество неудачных попыток входа в систему с помощью контрмер BEST PRACTICES против словарных и DoS-атак!
- Весь доступ к базе данных осуществляется через подготовленные (связанные) заявления!
Примечание: эти последние несколько пунктов не излишним сверх-высоким уровнем безопасности, который вам не нужен для вашего веб-приложения. Если библиотека аутентификации не соответствует этим стандартам безопасности на 100%, НЕ ИСПОЛЬЗУЙТЕ ЕГО!
Недавние громкие примеры безответственных кодеров, которые оставили их в своем программном обеспечении: # 17 - как AOL электронная почта Сары Пэйлин была взломана во время президентской кампании; противная комбинация № 18 и № 19 стала причиной недавнего взлома аккаунтов Бритни Спирс, Барака Обамы, Fox News и других в Twitter; и №20 - это то, как китайским хакерам удалось украсть 9 миллионов единиц личной информации с более чем 70 000 корейских веб-сайтов за один автоматический взлом в 2008 году.
Эти атаки не являются операцией на головном мозге. Если вы оставите свои задние двери широко открытыми, вы не должны вводить себя в заблуждение, вводя в действие переднюю часть. Более того, если вы достаточно серьезно относитесь к кодированию, чтобы выбрать подходящую среду, такую как CodeIgniter, вы должны сделать это, по крайней мере, правильно, выполнив самые основные меры безопасности.
<Напыщенная>
По сути, вот как это выглядит: мне все равно, если библиотека аутентификации предлагает набор функций, расширенное управление ролями, совместимость с PHP4, красивые шрифты CAPTCHA, таблицы стран, полные админ-панели, навороты и свистки - если библиотека действительно делает мой сайт менее безопасен , не следуя передовым методам. Это пакет аутентификации ; он должен сделать одну вещь правильно: аутентификация. Если это не удается сделать , что это на самом деле приносит больше вреда , чем пользы.
</ Декламация>
/ Дженс Роланд