Foros del Web » Creando para Internet » Diseño web »

Dudas con el inicio de sesion:autentificacion, validacion y autorizacion (TEORIA)

Estas en el tema de Dudas con el inicio de sesion:autentificacion, validacion y autorizacion (TEORIA) en el foro de Diseño web en Foros del Web. Holas gente Puse este post aqui debido a q es un tema mas teorico y q puede ser aplicado a cualquier lenguaje una vez que ...
  #1 (permalink)  
Antiguo 24/06/2010, 14:42
 
Fecha de Ingreso: enero-2007
Mensajes: 63
Antigüedad: 17 años, 2 meses
Puntos: 2
Pregunta Dudas con el inicio de sesion:autentificacion, validacion y autorizacion (TEORIA)

Holas gente

Puse este post aqui debido a q es un tema mas teorico y q puede ser aplicado a cualquier lenguaje una vez que se entienda bien :) (cuestiones de sintaxis)

... bueno ...

El caso es q hasta ahora he tenido entendido q estos 3 pasos (en cascada - el sgte depende del anterior) deben estar siempre presentes al momento de la programacion del 'inicio de sesion' o logeo de nuestros proyectos y segun mi opinion deben darse en el sgte orden:

1.Autentificacion
2.Validacion
3.Autorizacion

En 1 el sistema deberia verificar si el usuario ingresado (OJO solo el usuario no el password) existe en la BD.

Si el usuario no existe entonces se muestra el msj "Usuario / Password Incorrecto"

En 2 Si el sistema a autentificado el usuario (el usuario se encuentra en la BD) recien debe verificar si tanto el password como el usuario ingresados se encuentran el la BD (es decir un usuario registrado a ingresado correctamente su password)

Si el usuario ingresado es correcto pero su password no (pueda darse el caso de q alguien con nuestro usuario quiera entrar al sistema pero no sabe el password correcto) Se tomara en cuenta un contador de intentos para darle un minimo de intentos o sino se inicia el bloqueo de su IP por cierto tiempo


En 3 Si el sistema cuenta con secciones (determinadas por roles - admin, alumnos, docentes, secretarias, etc ...) Los usuarios autentificados seran direccionados cada uno respectivamente a donde se les asigne segun su rol

Lo q quisiera saber es si lo q planteo esta bien fundamentado (estoy completamente equivocado o tal vez este ovbiando algunas cosas) Tal vez alguien tiene alguna otra forma de ver las cosas (por la experiencia con la q cuenta) y que le gustaria darlo a conocer

Seria un buen tema para debatir y compartir ideas y opiniones ya q es un tema q muchos de nosotros alguna vez hemos tocado en la realizacion de uno u otro proyecto ;)

Espero contar con su ayuda

Gracias
  #2 (permalink)  
Antiguo 24/06/2010, 16:30
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 15 años, 8 meses
Puntos: 1532
Respuesta: Dudas con el inicio de sesion:autentificacion, validacion y autorizacion (

en cuanto a la parte 3, puedes usar diversa variantes, pero en general es lo mismo

en la segunda parte si es importante darle al usuario los determinados intentos, pero debes evitar (en lo posible) mostrar si el usuario existe, ¿porque?, porque es más fácil para un malintencionado vulnerar o adivinar la contraseña de un usuario, sabiendo que efectivamente el usuario existe, además si es un spam robot, si éste genera miles de combinaciones de diferentes usuarios y password y tú solo bloqueas los intentos en el segundo paso, pues es probable que no llegue a ese paso, entonces debes de implementar el bloqueo de la IP en el primer paso, o usar un captcha para mayor seguridad

Etiquetas: inicio, teoria
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:54.