Autentificator - Gestión de Usuarios by Cluster

kitaron el autentificator de hotscripts??
lo vote y me decia ke ya no exisitia algo asi

mira, yo tengo un link en la web llamado listas de precios, ahi al hacer clic debería mostrar el formulario de us y pass, pero es necesario para mi que al poner un pass y us unos usuarios entren a listas (a) y otros usuarios desde el mismo formulario pero con otro us y pass entren a listas (b), porque unos tienen precios mayoristas y otros minoristas.
Yo debería crear manualmente por ej 50 usuarios nivel 1 (a) y 50 usuarios nivel 2 (b)? pero el formulario te lleva siempre a una página restringida predeterminada o no? y mi caso sería que segun el us y pass cargados te lleva o a la página (a) o a la página (b).

Si yo voté en hotscripts y me aso igual.

Para ser más preciso, en el formulario del acceso al panel del servidor tenés este código:

<html>
<head>
<title>DirectAdmin Login</title>
<style>
*{ FONT-SIZE: 8pt; FONT-FAMILY: verdana; } b { FONT-WEIGHT: bold; } .listtitle { BACKGROUND: #425984; COLOR: #EEEEEE; white-space: nowrap; } td.list { BACKGROUND: #EEEEEE; white-space: nowrap; } </style>
</head>
<body onLoad="document.form.username.focus();">
<center><br><br><br><br>
<h1>DirectAdmin Login Page</h1>
<table cellspacing=1 cellpadding=5>
<tr>
<td class=listtitle colspan=2>Please enter your Username and Password</td></tr>
<form action="/CMD_LOGIN" method="POST" name="form">
<input type=hidden name=referer value="/">

<tr><td class=list align=right>Username:</td><td class=list><input type=text name=username></td></tr>
<tr><td class=list align=right>Password:</td><td class=list><input type=password name=password></td></tr>
<tr><td class=listtitle align=right colspan=2><input type=submit value='Login'></td></tr>
</form>
</table>
</center></body></html>

desde el cuál segun el pasword y el us te lleva al panel del dominio www.xxxx.com o www.dddd.com, me explico? bueno en el autentificador de cluster, el from action te lleva a una web predefinida.
Osea que tendriamos que configurar que y como para desde un vínculo x ir desde el mismo formulario(index.php) a la página a o b o c. según el pass y us.


otra duda, que esparo les sirva a novatos como yo , an cada página que quiero restringir por nivel debería poner aquí =1 para los usuarios creados con nivel 1 y entrarian solo los de nivel 1? $nivel_acceso=1; // Nivel de acceso para esta página.

$nivel_acceso=1; // Nivel de acceso para esta página.

o donde poner el nivel para que solo entren esos usuarios con ese nivel.


Complicado no? pero necesito de vuestra ayuda.

a.. ya te entendi. por ejempolo
The-Herps tiene nivel 50 y el formulario lo tiene ke llevar a 50.php
Cluster tiene Nivel 10 y el formulario lo tiene que llevar a 10.php

Bueno. el formulario de cluster siempre lleva a una sola pagina
No abra un metodo para cuando el sistema detecte Nivel Accesi =50 se haga un reediccionamiento??
o Nivel Acceso =<49 lleve a 10.php
No se
Cluster es el bueno

exactamente, el autentificador es perfecto y sencillo, sólo quisiera saber como poder modificarlo para que desde el index te redireccione segun el us y pass a (a o b)

Debes tener en cuenta que el Autentificator trabajo con niveles de usuarios y dependiendo a los niveles puedes hacer acciones de redireccion o acceso a secciones especificas.

Tomalo como si cada nivel es un grupo donde muchos usuarios van a formar parte y ese grupo cada vez que alguien accese tu dices segun el nivel a donde iran ya sea dejarlos en la misma pagina o redireccionarlos es tu decicion no del autentificator.

Cluster da este ejemplo, que esta en el inicio de aut_gestion_usuarios.php:
Alli ves que se incluye el file aut_verifica.inc.php despues pones el acceso predefinido para la seccion y pones tu condicional diciendo que haras con los otros niveles que entren o con el nivel especifico que quieres procesar o autorizar.

En ese condicional puedes decir si el nivel es igual a tal redirecciono a esta pagina pero si es igual a tal entonces va a esta otra, asi haras las redirecciones basandote en los grupos de niveles y no en cada usuario.

Así es .. como comenta dwaks ... en base al nivel del usuario puedes "psudo-asociarlo" a tus "grupos" de usuarios.

Tendrás que crearte un scritp que redireccione en función del nivel del usuario que corresponda y tenga el usuario en el sistema y de ahí validar tus scripts o parte de lógica del mismo para "filtrar" por que datos tendrá que ver cada tipo de usuario.

Ejemplo sencillo:

De tu formulario de login . .lo envias a (el action="redireccionar.php"):

redireccionar.php
Y cada uno de esos scripts (o si es uno sólo ...) tendrá que validar primeramente como en el ejemplo "demo" de Autentificator algo tipo:

lista_precios_mayorista.php
Y lo mismo para la otra página restringida pero con == 2 como nivel de acceso ...

Por supuesto .. todo esto podría quedar en una sóla página .. pero tal vez en tu caso para no complicarte y liarte mucho de lo que puedas haber hecho ya con esto te sobrará.

Por qué lo ideal sería un sólo script y .. no sé como trabajas esa "lista de precios", pero yo tendría mi lista de precios en una BD tipo:

precios_DB

id_precio
producto_codigo
producto_descripcion
precio_mayorista
precio_minorista

Y a la hora de presentar el precio ..
(o si trabajas con múltiples listas de precio .. en una tabla y por "id_lista_precio=$_SESSION['nivel_usuario']" podrías hacer la relación si así lo defines tu como "aplicación".

En definitiva .. el uso y gerarquía del "nivel de acceso" se lo dá cada uno en función de sus necesidades .. lo mismo que las validaciones que quieras darlas .. es sólo "lógica" (if() .. switch() .. etc)

Un saludo,

mil gracias nos pondremos a ver bien esto y cualquiercoza les consulto, pero de nuevo muchísimas gracias.

Parece que lo sacaron .. fueron casi 3 años xD .. veré si lo puedo volver a colocar allá ..

Un saludo,

lo hice por privado pero tambien a the herps ya dwaks, tambien decirle muchas gracias, dwaks ayudaste mucho a clarificarme el problema, lo soluconé con vuestras respuestas y funciona de maravillas el redireccionamiento, tal com lo necesitaba.
Lo necesitaba para entrar a area restringida para que los clientes puedan abrir o descargar los pdf o exel.
Cuando la web esté lista les muestro como quedó, y repito mil gracias, que seria de esto sin vuestra ayuda.

jejeje

al menos dame el crédito de haberlo subido al servidor

no.. no te dije ati. me referi a ke le dijiste a cñluster las gracias y todo eso por lo del autentificator
y despues yo le puse,
The-Herps (una aclaracion de ti a mi)
The-Herps. tu no hisiste nada
O sea yo no hice nada
Me entiendes??

si entendi, era solo una broma, pero cuando pedi ayuda en otros temas siempre veo tu ayuda y eso se valora, va al menos yo si lo valoro.

Tanks Men

Que onda cluster, bien pues tengo una duda..
tengo una DB, en la cual cuenta con los campos...
id
nick
password
nombre
sexo
edad
email
evaluo
imagen
comentario
desde
admin
eres
avantar
mostrar
contador
sesion
chis
ciudad

me gustaria ver si puedo adaptar tu manejador de usuarios, pero añadir esos campos y hacer busquedas ala DB, para poder gestionar mis usuarios..

son mas de 7000.

saludos, espero tu respuesta, y si tienes tiempo. tu ayuda.
saludos.

aloha nativos.

tengo implementado el autentificador en una página y ahora me interesa utilizar la variable $_SESSION['usuario_nivel'] para llamar secciones especiales de la página o no llamarlas dependiendo del nivel del usuario (sería con un include)? la verdad es que no sé como hacerlo.

un caso práctico de eso podría ser que los usuarios que sean "administradores" puedan ver en su barra de navegación una sección extra que podría llevarlos a un panel de acministración, lo cual estaría oculto para un usuario con otro nivel.

a ver si me expesé bien.

salu2

Tan sólo debes indicar que vas a usar tu nombre de tabla (esa que tienes creada ya), adaptar el nombre de los campos o bien cambiar el código que hace referencia a ellos y añadir el nivel del usuario (campo) .. Como dices que ya esa tabla tiene datos .. cambia el código de Autentificator (aut_verifica.inc.php) donde haga referencia a los nombres de los campos por los tuyos.

Por lo demás .. veo que usas un campo "password" .. no sé como guardas la contraseña, pero lo que es Autentificator las usa encriptadas en MD5() .. si no las usas así tendrás que encriptarlas. Ese proceso podrías hacerlo con una sentencia SQL sencilla si no lo trabajas así tipo:

UPDATE tu_tabla SET password=MD5(password)

(OJO .. antes de "jugar" con tu tabla con datos .. hazte un respaldo/cópia de seguridad)

El resto de scripts que acompañan a Autentificator como el gestor de usuarios.. tendrías que modificarlo bastante para adaptarse a tu tabla con los extra-campos de más .. En ese caso te conviene mejor si no lo tienes hecho ya .. tu própio administrador de usuarios (para crear los usuarios y sus datos de su "perfil" ..) Sólo recuerda una vez más que la contraseña ha de quedar encriptada en MD5 (en el própio código del gestor de usuarios puedes ver como trabajar ese tema).

Un saludo,

Si tienes en cuenta que $_SESSION['usuario_nivel'] es una variable que siempre tienes ahí (en la sesión) disponible y que guarda el dato del nivel de acceso del usuario que está en el sistema (en esa sesión) .. tan sólo debes "jugar" con condicionales básicos como un simple "IF" para "generar" el "HTML" o salida que corresponda en tu aplicación:

Ejemplo:
Un saludo,

Hola Cluster, disculpa pero no entiendo por qué en el archivo aut_verifica cuando haces la consulta sql pones "WHERE usuario='".$_POST['user']."'" y no "WHERE usuario='".$_POST['user']."' and pass='"".$_POST['pass']."'".

¿No sería mucho más seguro el comprobar tanto el usuario como el password en la consulta que sólo el usuairo? ¿Que pasa si hay dos usuarios con el mismo password?

No he visto el código de Cluster pero seguro posteriormente ha de hacer un if($_POST['pass']==$_row['pass'] ó algo por el estilo... ¿por qué así?

Sí haces una sola consulta verificando que ambos datos y te arroja error no sabrás cuál de ellos es el incorrecto ... no está mal pero puede hacerse más práctico. Si separas la consulta de esta manera primero verificas que el usuario exista, si no arroja resultados el nombre del usuario es el incorrecto (no importa el password entonces), sí existe comparas que el password sea el correcto, para entonces el usuario será correcto pero el password es el incorrecto . Y vé que no hay problema con que más de un usuario tenga el mismo password pués la "condición principal" es la de que el usuario esxista...

Saludos!

PD: Espero me haya dado a entender me costó entenderme a mi mismo.

te explicaste muy bien, pero en mi caso me es igual saber si el dato erroneo es el usuario o la contraseña, ya que en ambos casos le voy a mostrar el mismo mensaje de error, ya que si por ejemplo un listillo se identifica y le aparece el mensaje de contraseña erronea, sabrá que ese usuario existe y ya tendrá la mitad del camino hecho para conseguir colarse en mi aplicación, y lo mismo a la inversa. Cuanta menos información le de al usuairo, para mí, mucho mejor.

... si así lo quieres manejar... ok... pero es un tanto neurótico ... jejeje, en buen son.

Mira, estás planteando la posibilidad de que alguien te hackee ¿cierto?... pués usualmente el hackeo se hará sobre un nombre se usuario existente, vaya, se trata de hackear una cuenta en particular, ya sea para alterar a tu usuario ó irá sobre la cuenta de administrador para alterar el sitio...

Obviamente si el ataque va dirigido (administrador/usuario cualquiera) tendría que saber hacia quién... el primero adivinar un usuario existente sería una perdida de tiempo... nadie haría eso... nadie con un poco de inteligencia , mejor crearme mi cuenta y atacarme a mi mismo ¿para qué hacer eso???.... ¿me vaz a decir que en tu sistema núnca muestras la cuenta de usuario?? difícil de creer...

La verdadera protección está en la contraseña, el usuario es lo de menos... entonces para protejer el pass haces uso del algoritmo MD5, supongo Cluster lo ocupa... así codificando con ese algoritmo un ataque podría tarda... supongo unos cuantos años ... valdrá la pena gastar tanto tiempo???, solo que se sea muuuuuuuy afortunado: www.php.net/md5


Alguien inteligente iria sobre las opciones de "recordar contraseña"... , pero nadie preguntó eso...

Saludos!
PD: No hay sistema 100% seguro... eso es un hecho. La forma como lo planteas no está mal, solo digo que no tiene mucho sentido... espero me entiendaz.

jam1138 gracias por tu pronta y extendida respuesta. Tienes razón en todo lo que dices, mi temor viene por que me gusta darle privacidad a mis usuarios sobre sus datos personales etc.

Resulta que yo haciendo pruebas en otras páginas que disponen de un sistema de acceso con usuario y contraseña, me resultó realmente facil colarme en ellas poniendo nombres de usuarios y contraseñas lógicas, tal como "daniel" "daniel", o "luis" "123456", y claro, pudiendo entrar hubiera podido cambiar todos sus datos, o simplemente mirarlos.

Todos sabemos que una mayoría de la gente no se complica poniendo usuarios y contraseñas complejos, de hecho soy proveedor de alojamientos y servidores dedicados, y es increible la cantidad de gente que usa su nombre como contraseña para su cuenta de correo. ¿Solución?...

... sí, es increible... ejém... ¿solución?... Bueno... temo que esto ya no tiene nada que ver con el propósito de este post, así que brevemente diré que, lo ideal serìa invitar a tu usuario no cometa esos errores... pero no confiando en ellos puedes impedir lo hagan, validando sea diferente el pass y el nombre de usuario, incluso que no lo contenga, forzarlo a ocupar carácteres alfanuméricos (no solo letras, no solo números, ambos)... y, claro, podrías hacer "una libreria de passwords simples" tipo: "1234556", "111111"... etc.

Si es necesario extender el tema crea un nuevo post por favor... Saludos!

Pues ya lo explicó jam ...

Teorícamente .. cuando menos información des a tu usuario del error cometido .. más dificil será que "pruebe" .. Pero, en otros casos te puede interesar detectar que error obtienes en el login .. independiente de si muestras la misma frase de error para ambos tipo de errores o no .. por ejemplo para hacer tu própio "log" de intentos de login y ver por ejemplo que "intentan" hacer las pruebas que tu mismo sueles hacer (usuario = password .. etc).

Por supuesto, podemos implementar médios en el registro de usuarios para no permitir por ejemplo cosas como usuario=password .. 1234 como password .. o limitar el n° minimo de caracteres de la contraseña/usuario .. o forzar a que sea alfanumérica la contraseña .. o simplemente la generas tu automáticamente (y aleatoria) y no das opción que la cambien y la elija el usuario ..

Cualquier médio es válido.

Por lo que respecta a Autentificator .. primero se valida la existencia del usuario, dicho usuario no se permite que sea repetido (por lo menos si usas el gestor de usuarios original se valida dicho tema si se ocasiona ..así que quedas con usuarios distintos, no se hace a nivel de la BD y su campo correspondiente en SQL (no le puse "UNIQUE" al campo del usuario ...ahora que lo pienso). Por ende .. dos usuairos distintos con contraseñas iguales .. es lo de menos.

Un saludo,

Bueno .. en el anterior mensaje lo comenté .. Pero también te comento que si hay un sistema que "pide" una contraseña/usuario .. quien lo usa y la coloca se ha de hacer responsable de eso. Seguro que tu mismo como muchas otras personas que tienen "conciencia" que solicitar una contraseña no es por que diga el sistema "Bienvendio usuario" sino para proteger acciones/información que sólo -el- puede hacer .. usas contraseñas aleatorias .. de N caracteres mínimo .. y tienes un registro de tus contraseñas por algún sitio (yo uso agendas de contraseñas que disponen de funcionalidad para hasta crear una contraseña aleatoria sin complicarme).

La solución a estos "descabezados" que usan ese tipo de contraseñas .. simplemente sería que tu la generes en tus aplicaciones .. se la comuniques a tus usuarios y no dejes opción a que la coloque tu usuario o que la cambie. Ahora, no evitaras que llegue el "tipo" y se anote la contraseña en el fondo del cajón de su escritorio o la pegue en un lado del monitor (datos verídicos, lo he visto en mi trabajo!!!!!), contra eso no podemos "luchar" .. pero si que podemos explicar y crear conciencia a nuestros usuarios de nuestros sistemas del "por qué" pedimos contraseñas para ciertas cosas .. sino haríamos sistemas "abiertos" y listo .. menos complicaciones para nosotros los programadores.

Un saludo,

OK lo q quiero hacer y aun no puedo es algo similar a la autentificación q se da en foros del web. Es hacer q cuando un usuario ingrese se oculte el formulario y se muestre en su lugar el nombre de quien inicia sesión. Mi problema es q estoy trabajando en IFRAMES. En un iframe tengo el formulario (aut_index.php) y la bienvenida y errores se muestran en otro iframe.

Cómo puedo hacer para q después de haber accesado correctamente un usuario el iframe donde tengo el formulario se actualice también???


Salu2

Pues tendrás que gestionar tus taget vía javascript para indicar "recarga este frame y el otro" pero todo eso lo haces con javascript ..

Lo que es en el frame donde tienes tu "login" (formulario) ese script tendrá que hacer algo tipo

Es decir .. si está creada tu variable de sesión .. muestras su valor .. sino, generas tu formulario de login.

Pero, insisto .. el tema de frames! debes gestionarlo con javascript para lanzar la "recarga" de esos dos frames (sobre todo el superior) cuando valides a tu usuario.

Un saludo,

PD: deberías pensar en abandonar el uso de frames .. usar técnicas como "web modular" o bien meterte de lleno con "Ajax" o "Remote scripting" .. Si quieres saber más sobre todo esto .. usa el buscador del foro, hay muchos comentarios al respecto.

Bueno...investigaré sobre esos temas, grax cluster x la recomendación.

Salu2