Autentificator - Gestión de Usuarios by Cluster

Si, es necesario usar session.use_cookies = 1 .. ya que se usan redireccionamientos tipo header("Location ...") y por los que pudieras usar tu en tu programación tipo javacript (con window.open incluso u otros redireccionamientos) e incluso etiquetas META de refresh.

SI se propaga el SID en cookies .. no veras el SID propagado en el URL pese que uses session.use_trans_sid = 1 a no ser que estas fallasen (la creación de las cookies en el cliente). En tal caso el SID se propagaría por el URL pero fallaría el SID (se perdería) en los redireccionamientos mencionados.

Un saludo,

gracias Cluster ya lo he entendido, pero ahora tengo otra duda, deshabilite las cookies del navegador y aun así me sigue funcionando, a que se debe?

Si te funcionan las sesiones todavía será por qué aun usas:

session.use_trans_sid = 1

Un saludo,

Alguno de ustedes ha integrado un buscador en Autentificator, le agradecería mucho que si es así me orientara un poco pues uso este script y al tener muchos usuarios facilitaría la labor.

Gracias anticipadas.

Simplemente Genial el script....

Cluster te envie un mail leelo porfa

Hola!
Gracias por compartir tus scripts y tu sabiduria con todos. Creo estoy aprediendo muchas cosas, pero aun me aparecen errores que no entiendo.
Probablemente se trate de algo facil o quiza haya sido respondido ya en el foro, pero no lo entendi.

Podriais ayudarme a descifrar estos errores?

Warning: session_start(): Cannot send session cookie - headers already sent by (output started at c:\program files\apache group\apache\htdocs\autentificator\a.php:7) in c:\program files\apache group\apache\htdocs\autentificator\aut_verifica.in c.php on line 103

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at c:\program files\apache group\apache\htdocs\autentificator\a.php:7) in c:\program files\apache group\apache\htdocs\autentificator\aut_verifica.in c.php on line 103

Warning: Cannot modify header information - headers already sent by (output started at c:\program files\apache group\apache\htdocs\autentificator\a.php:7) in c:\program files\apache group\apache\htdocs\autentificator\aut_verifica.in c.php on line 127


Muchas gracias por adelantado

En
a.php línea 7 .. tienes algo de salida al navegador .. ya sea <html ...> o echo "algo" .. o un simple espacio o salto de línea antes de <? .. o si tienes más include() por ahí .. alguno de ellos está probocando su salida al final de ?> (como salto de línea o espacio ..)

Un saludo,

hola amigos :
saben me eh bajado este script y lo eh adaptado a un formulario que tenia ....bueno en resumen cuando entro con Admin y admin todo ok (me direcciono a mi index.php) pero cuando desde ahi quiero seguir a otra pagina el navegador se queda largo tiempo tratando de habrir la pagina (cargando)...a que se debe esto ......yo estoy usando el appserver......y a las paginas a las que quiero direccionar son frames ....por favor alguien sabe por que pasa esto?

ah se me habia olvidado .....al final de cuentas no me carga la pagina

Y .. las otras páginas de tu frame-set .. las autentificas con el requere("aut_verifica.inc.php") y el resto de validación de nivel del usuario?


Un saludo,

Cluster, estoy haciendo una clase en PHP para la autentificación de usuarios. He partido de las funciones de tu autentificator para no dejarme nada, pero la implementación de algunas cosas es distinta.

Espero que no te moleste.

Cluster,tengo una dudilla:

Yo uso tu script para restringir la entrada a mi web para usuarios registrados.Es decir,si se autentifican bien se redirecciona a restringido.php.

Ahora bien,para verificar que el usuario navega exclusivamente por su zona(accediendo a sus proyectos personales,datos personales,....) hay que poner al inicio de todos los scripts include("aut_verifica.inc.php"); para verificar que el usuario navega solo por su zona???Te digo esto porque a la hora de hacer los scripts necesito disponer de los ids de los usuarios,nombres,apellidos,..... y no sé si es correcto poner al inicio de los scripts el include(yo creo que no porque en verifica siempre accedo a la base de datos para comprobar si esta el usuario en la base de datos y solo bastaria hacerlo al inicio,a la hora de registrarse) o sólo bastaria con poner session_name("autentificator"); y session_start(); y poder disponer de las variables de sesión registradas al inicio del registro.¿Es esto último lo correcto?

Espero que me aclares un poco.Un saludo

Autentificator no hace una consulta a tu BD cada vez que .. para eso crea y gestiona las variables de sesión que se crean al autentificar al usuario desde el formulario de login.

El código de aut_verifica.inc.php ya hace eso mismo .. (es un if() ..). Mira si existen las variabels $_POST .. del formulario y si no están .. entonces "entiende" que estás siguiendo una sesión válida verficando la existencia de estas. Si no se cumple alguna de estas condiciones te dará el "Error. cod 2 Acceso incorrecto".

Usando aut_verifica.inc.php en todos los scripts que requieran autentificación ya tendrás disponibles tus varibles de sesión $_SESSION['id_usuario'] y demás (que menciona la documentación) y que este script a su vez ya inicia el uso de sesiones (session_start() y necesarias .. pues se usa nombre de sesión tabien entre otras cosas).

Un saludo,

Ningún problema ..

Además que las funciones que ahí se muestran o "lógica" no es nada del otro mundo ..Dejé el script bajo licencia GPL .. así que puedes hacer lo que gustes con el código.

De hecho .. la filosofía de "Autentificator" es que sirva como tutorial de iniciación al uso de sesiones con un ejemplo práctico y que cada cual tome lo que guste del script para mejorarlo o adaptarlo a sus necesidades.

Un saludo,

hola cluster:
primeroque nada agradecerte que te tomes el tiempo de contestar, ya que en otros foros la verdad no ayudan mucho, gracias , bueno lo que me preguntaste , si , le pongo el aut_verifica.inc.phpen todas las paginas delframe eh probado de las siguientes formas:

<?
// Autentificator
// Gestión de Usuarios PHP+Mysql+sesiones
// by Pedro Noves V. (Cluster)
// [email protected]
// ------------------------------------------
require("aut_verifica.inc.php");
$nivel_acceso=0; // Nivel de acceso para esta página.
// se chequea si el usuario tiene un nivel inferior
// al del nivel de acceso definido para esta página.
// Si no es correcto, se mada a la página que lo llamo con
// la variable de $error_login definida con el nº de error segun el array de
// aut_mensaje_error.inc.php
if ($nivel_acceso == $_SESSION['usuario_nivel']){
header ("Location: opcion.php");
exit;
}
else
header ("Location: opcion1.php");
?>
este codigo lo pongo en la donde mando e passw y el user, luego de aqui segun elnivel de usuario me manda a opcion.php o a opcion1.php, hasta aqui todo ok , a estas paginas (opcion,opcion1)le he puesto el siguiente script:

<?
require("aut_verifica.inc.php");
?>
el cualnopresenta problema . en opcion.php tengo botones que hacen un link a determinadas paginas (todas ellas con frames) y eh probado poniendo las dos formas de script anteriores en todos los frames de lapagina , y aun asi no carga , y lo raro es que no me arroja ningun error mas bien se queda cargando por largo tiempo , y finalmente nunca termina de cargarse lapagina, por que al principio al mandar mi passw y user por formulario si resulta ....pero despues cuando quiero hacer un link ya no .

agradecere mucho tu comentario desde ya muchas gracias cluster

Queria agradecerte Cluster una vez tu ayuda. Tu respuesta me sirvio para encontrar que es lo que estaba funcionando mal.

Reitero lo que dice bartolo_0000, gracias por tomarte el tiempo en contestar a nuestras preguntas. Se aprende mucho asi, tanto de las propias como de los problemas de otros que a veces son los propios.

Un saludos

hola cluster :
veras, cuando una pagina esta con sesion se ve de esta forma (con el "?" alfinal)
http://localhost/1/pag1_restringido.php?

pues a mi no se me ve el "?" que significa eso ?

CLuster, como estas? Primero que nada genial tu script ;) re util!
queria preguntarte como puedo hacer para que el authentificator me reconosca usuarios y contraseñas de una tabla ya existente? tengo una tabla con usuarios y contraseñas y estaria bueno aprovecharla.

Saludos, muchas gracias.
Miguel.

Sólo tienes que cambiar las consultas SQL que se hacen en aut_verifica.inc.php (que es el "motor" de atuentificación) usando ahí el nombre de tus campos de tu actual tabla de usuario de tu BD y en la configuración (aut_config.inc.php) donde se indica el nombre de la tabla de usuarios que usará Autentificator ... indicas la tuya.

Sólo tén presente que Autentificator usa claves (contraseñas) en formato encriptado MD5() .. no sé como trabajaras las contraseñas en tu actual tabla de usuarios .. pero deben ser MD5() o sino tendrías que entrar a modificar más secciones del script donde se usa MD5().

Un saludo,

bartolo_0000

Es probable que tengas problemas con la propagación del SID. Autentificator requiere que se propage el SID en cookies:

session.use_cookies = ON

Si no es así ... al usar frames (y dependiendo de la configuración de: session.use_trans_sid y url_rewrite_tags) es probable que el SID no se esté propagando en tus links que apuntan a otros frames del frame-set.

Si una página de ese frame-set "autentificada" no se propaga el SID .. debería darte un error "Cod.2" que se refiere a eso mismo.

También puede influir el código que valida la "página referida": $_SERVER['HTTP_REFERER'] .. esa variable de servidor es tomada para identificar que página pidío la página .. y la usa para redireccionar. Si el valor no es tomado debería darte otro error "cod.1".

Revisa esos puntos. Mira que valor tienen las variables $redir y afines antes de redireccionar (de los header("Location: ...")). Puedes probar a ver por ejemplo:

echo $redir;
exit;
header ("Location: $redir .....");

Otro problema podría ser el control del caché que usa Autentificator:
session_cache_limiter() .. donde se ajusta a "private y nocaché" (sería cosa de probar con "public" por ejemplo).

Es decir .. ver que valor toma $redir y parar la ejecución del script antes de redireccionar para ver si es ahí por donde falla la redirección (por qué tiene pinta que lo que falla en el fondo es la redirección).

Para intentar localizar el problema debes asegurarte de (por este orden)
1) se propaga el SID
2) No hay problemas en las redirecciones (header ...)
3) control del caché.

Y bueno .. probar el script tal cual se entrega con sus ejemplos y ver si ahí también falla (para ir descartando problemas).

Un saludo,

hola me gusta mucho el autenticator ahora mismo estoy utilizandolo pero tengo un problema y quisiera ver si me puedes ayudar. Mira el problema es que yo uso una libreria que hace las validaciones necesarias en los datos tanto en el cliente como en el servidor. Es decir si no son validos los datos no hace la llamada a la pag php. pero cuando ya paso con datos validos empieza mi problema es decir cuando ya ingreso login y password. Como tu haces una redirecciona a la pagina y envias el numero de error y lo recibe en un $_GET bla bla bla. Ahora el error me ocurre cuando vuelvo a ingresar datos no validos en la pagina de inicio de sesion por que como veras siempre que haya un error en el cliente no ejecutara la pag php y siempre se ve el error anterior cuando se redirecciono a la pagina de inicio. Espero que me hayas entendido y mas que nada que me pueda ayudar de antemano muchas gracias

Lo siento pero no entendí bien las condiciones de pruebas. Si pudieras explicarlo con un ejemplo práctico (y diciendo cosas como: .. formulario.php .. -> mando a tal sitio que tiene aut_verifica.inc.php .. y blablabla).

Un saludo,

hola cluster tus ejemplos tal cuallos entregaste funcionan bien , .....mira anoche me di cuenta que me faltaba una etiqueta para cerrar elfor(</form>.....sela puse y puseentrara a miindex_proyecto.php......un gran logro pa mi!!!!!..)....ahora me dispongo a revisar lo que me dijiste ....gracias por todo

okis, entonces esta es la cosa. En la pagina de login Index.php utilizo el vdaemon para realizar las validaciones que necesite de lado del cliente y del servidor. Entonces cuando ha pasado toda validacion en ambos lados del vdaemon recien ejecuta la pag.php donde se llama a aut_verifica.inc.php para validar iniciar sesion.Ahora cuando no se pudo iniciar sesion por cualquiera de los errores que se detectan en aut_verifica.inc.php entonces esta devuelve a la pagina que llama es decir Index.php?Error_login=1 por asi decir. Este resultado se muestra en la pagina Index.php. Pero como ya se creo el Bloque del error es decir
<DIV class='error' align='center'> Error : No se encontro el usuario </DIV>
creo que le falta algo a ese bloque de codigo, pero no importa. Ese texto que ya se genero se mantiene en la pagina generada por Index.php y como el vdaemon valida las cosas en el cliente antes de llamar a la pag.php entonces si ocurre un error en el cliente me sale un
<DIV class='error' align='center'> Error : No se encontro el usuario </DIV>
cuando ya no deberia aparecer pues estamos probando de nuevo el inicio de sesion. Espero q ahora me hayas entendido no se como mostrar solo una vez el error que se detecto en la pag.php. Ayuda por favor!!!!

Bueno .. no sé si usas el código de ejemplo para mostrar o no los códigos de error, me refiero a :

o similar condicional .. El caso es que si la autentificación falla .. se redireccona a la página que lo llamó pasando por el URL esa variable de control. En el script de "vuelta" (página) debes verificar la existencia de esa variable para mostrar o no los mensajes de error.

Un saludo,

PD: Que es "vdaemon" que valida en el "cliente"?

Hola cluster. Muchas gracias por poner tu codigo a disposicion del publico antes que nada. Hace poco me estoy iniciando con esto del php y me es muy util, tanto que lo despedace por completo :D, aunque en esencia te llevas todos los creditos.
Te hago un par de preguntas:
1) Tenes planeado poner la opcion de "Recordarme" en el login? Me refiero a las autentificaciones tipicas de yahoo, etc.
2) Crees conveniente que en todas las paginas donde se incluya el motor de autentificacion, de "acceso incorrecto" (no recuerdo exactamente si ese era el texto del error) para las paginas protegidas a las que se haga una referencia directa (bookmark) aun teniendo una sesion valida?
Y por ultimo una sugerencia, que yo ya he "implementado" En el login, tu diferencias con 2 codigos diferentes "usuario incorrecto" y "contraseña incorrecta". Mi humilde opinion, es que habria que unificar los codigos en un solo mensaje: "usuario o contraseña incorrecta", ya que algun malintencionado puede "escanear" usuarios registrados en el sistema de la forma en que tu lo haces. ¿me explico?

Gracias por tu tiempo y todas tus respuestas anteriores y las que vendran

hola cluster mira el vdaemon es una libreria muy buena para realizar validacion del lado del cliente y del servidor , en el browser y en el server que ejecuta la pagina .php.
Te lo recomiendo!! ahora otra cosa como se puede implementar en el autentificator que no permita iniciar sesion dos veces a un mismo usuario si no ha cerrado su sesion ya sea en la misma computadora o en cualquier otra, espero que me entiendas, me tope con ese problema y no se me ocurre como solucionarlo :( pos espero que me des alguna sugerencia. Muchas gracias de antemano
Atte rasrules

rasrules: Yo lo pense, y lo unico que se me ocurrio fue modificar la base de datos, poniendo un campo "logueado" del tipo booleano, cuando se valida el usuario se pone con sql logueado=true, y en cada pagina restringida se "pregunta" mediante sql tambien si logueado==true para ese id de usuario.
Repito: asi lo pense, pero todavia no lo estoy haciendo, aunque creo que la idea sirve.

si eso mismo pense yo pero creo que debe existir alguna forma para realizar lo solo usando el manejo de sesiones supongo por que sino que chiste tienen las mismas digo no se que opinan uds :D Saludos a todos

fuk

Podría ser .. pero, de momento tengo el proyecto "Autentificator" abandonado .. sólo me dedico a dar el soporte que puedo al mismo y de paso ir recolectando futuras "FAQ's" e impresiones de UDs. los usuarios.

Por otro lado .. mi objetivo principal de "Autentificator" siempre ha sido el mejorar el "motor" de autentificación más que añadir nuevas funcionalidades o mejoras por ejemplo en el administrador de usuarios que es muyyy simple (y feo de diseño) .. Pero ese tipo de ejemplos "demo" siempre los "pensé" como que cada uno se haría su própio administrador de usuarios y sólo usaría el "motor" (aut_verifica.inc.php). Lo demás sería un ejemplo práctico de uso. Principalmente lo oriento a un ejemplo práctico de uso de sesiones mas que a una aplicación final de gestión completa de usuarios.

No sé si entendí bien... Autentificator valida dos cosas en la actualidad:
* "pagina referida" si existe para "detectar" un posible acceso directo (por bookmark o URL directo) .. cosa que dá muchos problemas con proxys que no entregan dicha información .. redireccionamientos o aperturas de ventana javascript .. y otros casos más.
* Validación de la existencia de las variables de sesión creadas si se autentificó el usuario.

El primer caso de "validación" me servía para "salir rápido" del script si se detectava esa situación (con los problemas descritos). Pero ..igualmente siempre se ha validado la sesión creada que exista y sea válida.

Tienes razón. Si me dá por sacar nueva versión de Autentificator esa sugerencia ya me la habian comentado .. así que sería uno de los cambios a realizar.

Un saludo y grácias por los comentarios.