Crear sistema de login en flash

Damian_Morales_2030 · #1 (**permalink**) 14/04/2012, 22:34

¿Como hacer un sistema de registro de usuario y contraseña?

Aclaro que quiero que el usuario pueda cambiar la contraseña cuando el quiera.

AlanChavez · #2 (**permalink**) 15/04/2012, 11:14

Voy a asumir que ya tienes una tabla MySQL (o del gestor que sea) en tu servidor (local o remoto).

El archivo PHP creara un archivo XML al vuelo, el cual utilizara para enviar a Flash con el estado de la autentificacion (algo asi como AJAX, pero este seria AFAX.. Asynchronous Flash and XML jaja).

Crea un archivo php con el siguiente codigo:

Código PHP:

Ver original<?php
ob_start();
$hostname = "localhost"; 
$username = "usuario";
$password = "password123";
$database = "mibd";
 
$mysqli = new MySQLi($hostname, $username, $password, $database);
$amIConnected = ($mysqli->connect_errno) ? FALSE: TRUE;
 
isset($_POST['usr']) or die ("username not set");
isset($_POST['pwd']) or die ("password not set");
 
$usr = $_POST['usr'];
$pwd = md5($_POST['pwd']);
 
$strSQL = "SELECT `agent_code` FROM `users` WHERE `username` = ? AND `password` = ?";
 
if(!($query = $mysqli->prepare($strSQL))) {
    die("Query no preparada\nCausas:\n".$mysqli->error);
}
if(!($query->bind_param("ss",$usr,$pwd))) {
    die("Los parametros no fueron asociados con la consulta SQL\nCausas:\n".$query->error);
}
if(!($query->execute())) {
    die("Hubo un error durante la ejecucion de la consulta SQL:\n".$query->error);
}
if(!($query->bind_result($user_id))) {
    die("No se pudo asociar el resultado con la variable:\n".$query->error);
}
if($query->fetch()) {
header("Content-Type: text/xml");
    echo "<?xml version=\"1.0\" encoding=\"utf-8\"?>\n";
    echo "<authentication>\n";
      echo "<result>\n";
      echo "<ID>".$user_id."</ID>\n";
      echo "</result>\n";
  echo "</authentication>"; 
} else {
header("Content-Type: text/xml");
    echo "<?xml version=\"1.0\" encoding=\"utf-8\"?>\n";
    echo "<authentication>\n";
      echo "<result>\n";
      echo "<ID>-1</ID>\n";
      echo "</result>\n";
  echo "</authentication>";
}
$query->close();
$mysqli->close();
?>

Cambia $hostname, $username, $password y $database a los valores correspondientes en tu sistema.

Basicamente, genera un XML que regresa a flash el ID del usuario si es que existe, de lo contrario regresa un -1. Flash basado en esta informacion decide dejar pasar al usuario, o decirle que su nombre de usuario o contrasena es incorrecto.

El codigo en flash seria asi:

Código Actionscript:

Ver originalpackage  {
    import flash.display.*;
    import flash.net.*;
    import flash.events.*;
    import flash.text.*;
    
 
    public class main extends MovieClip {
        private static const DEFAULT_TEXT:String = "Iniciando Test...";
        private static const dx:int = 400;
        private static const URL:String = "index.php";
 
        private var _loader:URLLoader;
        private var _request:URLRequest;
        private var _requestVars:URLVariables;
        public var usuario:TextField = new TextField();
        public var contrasena:TextField = new TextField();
        public var usuarioLbl:TextField = new TextField();
        public var contrasenaLbl:TextField = new TextField();
        
        public var botonLogin:MovieClip = new MovieClip();
        public var campo:TextField = new TextField();
            
        public function main() {
            usuario.type = TextFieldType.INPUT;
            usuario.background = true;
            usuario.border = true;
            usuario.height = 20;
            usuario.x = 300;
            usuario.y = 150;
            addChild(usuario);
            usuarioLbl.text = "Nombre de usuario:";
            usuarioLbl.x = 170;
            usuarioLbl.y = 150;
            addChild(usuarioLbl);
            
            contrasena.type = TextFieldType.INPUT;
            contrasena.background = true;
            contrasena.displayAsPassword = true;
            contrasena.border = true;
            contrasena.height = 20;
            contrasena.x = 300;
            contrasena.y = 200;
            addChild(contrasena);
            contrasenaLbl.text = "Contraseña:";
            contrasenaLbl.x = 170;
            contrasenaLbl.y = 200;
            addChild(contrasenaLbl);
            
            botonLogin.graphics.beginFill(0x0000FF);
            botonLogin.graphics.drawRect(0,0,100,20);
            botonLogin.graphics.endFill();
            botonLogin.x = (contrasenaLbl.x + contrasenaLbl.width + contrasena.x + contrasena.width)/2-botonLogin.width;
            botonLogin.y = 250;
            botonLogin.addEventListener(MouseEvent.CLICK,autenticarUsuario);
            addChild(botonLogin);
            
            campo.border = true;
            campo.width = 400;
            campo.height= 100;
            campo.x = botonLogin.x-150;
            campo.y = 300;
            campo.text = DEFAULT_TEXT;
            addChild(campo);
        }
        
        public function autenticarUsuario(e:MouseEvent):void{
            output("Validando Usuario...");
            if((usuario.text=="")||(contrasena.text=="")) {
                output("Campo de usuario o contrasena está vacío\n");
            } else {
                _requestVars = new URLVariables();
                _requestVars.usr = usuario.text;
                _requestVars.pwd = contrasena.text;
                _request = new URLRequest(URL);
                _request.method = URLRequestMethod.POST;
                _request.data = _requestVars;
                _loader  = new URLLoader();
                _loader.addEventListener(Event.COMPLETE,completado);
                _loader.load(_request);
            }
        }
        public function output(s:String):void
        {
            campo.appendText(s+"\n");
        }
        public function completado(e:Event)
        {
            output("Consulta completada!\n");
            output("Mostrando Infomación:\n");
            var xml:XML = new XML(e.target.data);
            var campos:XMLList = xml..result;
            if(campos[0].ID == -1) {
                output("Usuario no existe");
            } else {
            output("Usuario autentificado con ID: "+campos[0].ID);
            }
        }
 
    }
}

Como menciono anteriormente, doy por hecho que ya tienes instalado un gestor de base de datos con una tabla de usuario creada.

Utilizo prepared statements para evitar SQL Injection, incluso aunque un posible atacante envie inputs como "-- OR 1" , al utilizar prepared statements; MySQL ya sabe de antemano cual es la consulta a ejecutar, asi que literalmente buscara "-- OR 1" en la base de datos, y no se ejecutara como SQL bajo ninguna circunstancia.

Sin embargo, para evitar basura, la clase TextField, tiene un metodo restrict, en donde puedes especificar una expresion regular para sanitizar la informacion proveida por el usuario.

usuario.restrict = [a-z];

restringe a que el input en el campo de texto de usuario, sean solamente letras de la 'a' a la ' z' (en minusculas).

Escribi un tutorial sobre esto en mi pagina web, es algo diferente mi tutorial simplemente hago consultas a la base de datos, pero con menores modificaciones como puedes ver hice un sistema de login :)

Te dejo mi web, por si quieres echarle un vistazo ;)
http://www.alanchavez.com

Aqui te dejo dos tutoriales relacionados al tema:
http://alanchavez.com/tutorial-como-...esarla-con-php
http://alanchavez.com/tutorial-de-co...sql-php-xml-hd

Desventaja:
El nombre de usuario y contrasena se envian en texto plano hacia PHP, asi que es vulnerable a un ataque de "man in the middle", alguien escuchando el trafico entre una computadora y un servidor. Si quieres agregar una capa de seguridad, utilizaria un algoritmo de encriptacion, con un secreto, como SHA256 para mayor seguridad, sin embargo no se si exista una libreria de encriptacion para AS3.

SHA256 encripta tu password con un secreto (una clase de contrasena), en php recibes la contrasena encriptada y la desencriptas con el mismo secreto.
Es mala practica de programacion, guardar los secretos en la base de datos. No lo pongas en Flash en texto plano, porque Flash se puede desencriptar y van a ver tu secreto, por lo tanto no tiene punto la "molestia" de encriptar el password.

Yo lo pondria en el servidor, FUERA DEL WEBROOT, con permisos solamente de lectura para el usuario y grupo de apache.

Lo que yo haria para agregar una capa de seguridad extra seria:
1) hacer un URLRequest del archivo PHP donde se encuentra el secreto, y pasarlo a flash.

2)Con el secreto dentro de flash; encriptar la contrasena del usuario, y pasar SOLAMENTE el usuario y contrasena al archivo de autentificacion.

Posteriormente en el script PHP donde se verifica si el usuario existe o no:

1) Leer el archivo PHP donde se encuentra el secreto
2) Desencriptar la contrasena del usuario
3) Codificarla con MD5 (en realidad se recomienda PBKDF2, ya que MD5 ya no se considera seguro)
4) Tratar de encontrar a un usuario, con esa contrasena.

Pero eso ya te lo dejo a tu criterio, lo veo dificil principalmente porque yo no conozco ninguna libreria de criptografia para Flash, sin embargo; no dudo que pueda existir.