Авторизация php безопасная: Безопасный метод авторизации на PHP / Хабр
Содержание
Как настроить безопасную авторизацию
Безопасная авторизация
Штатный инструмент безопасной авторизации |
Пароли для большинства сайтов передаются в открытом виде, если не используется
SSL
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.
Подробнее…
. Отказ от использования SSL связан в большинстве случаев с административным фактором. Тем не менее проблему передачи паролей и логинов в открытом виде надо решать. Это можно сделать с помощью штатной функции Безопасная авторизация.
Безопасная авторизация — функция, обеспечивающая зашифрованную передачу пароля пользователя. Шифрование пароля не является заменой SSL. Безопасная авторизация защищает от перехвата пароля только при прослушивании трафика.
Если у злоумышленника есть возможность изменять трафик, то шифрование не поможет. При разработке функции исходили из того, что изменить трафик сложнее, чем прослушать его (тот же открытый WiFi). Более того, шифрование паролей не защищает от перехвата сессии, но у сессии есть свои механизмы защиты (привязка к IP, частое изменение кода сессии). В целом можно сказать, что уровень защиты повысился, но лучше использовать SSL.
Подключается Безопасная авторизация в настройках главного модуля на закладке Авторизация:
Примечание: После установки флажка в чекбоксе перед генерацией ключа обязательно нажмите на кнопку Применить, сохраняющую настройки модуля. Без этого генерации ключа не произойдет.
По нажатию на Сгенерировать ключ происходит генерация ключа
RSA
RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом.
.
Размер ключа зависит от библиотек, установленных на сервере. По умолчанию используется модуль PHP openssl, который создаёт 1024-битный ключ. Его и рекомендуется использовать. Если модуль не установлен, то возможно использование bcmath с генерацией 512-битного ключа. Если нет ни того, ни другого модуля, включить шифрование нельзя.
Генерация ключа выполняется один раз. Повторную генерацию производить необходимо, если есть подозрения в компрометации ключа.
Внимание! На браузерах клиентских компьютеров должно быть разрешено использование Javascript.
Алгоритм работы |
- Вместе с формой авторизации клиенту передается открытый ключ.
- Перед отправкой формы авторизации, Javascript перехватывает отправку, зашифровывает пароль, с использованием открытого ключа, и отправляет на сервер.
- Сервер принимает шифротекст, расшифровывает его с использованием секретного ключа, и проводит аутентификацию пользователя.
Назад в раздел
Обзор способов аутентификации
Использованный материал: Обзор способов и протоколов аутентификации в веб-приложениях (cокращенный вариант)
Немного освежим терминологию.
Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи и т.д.
Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова authentic — истинный, подлинный).
Авторизация — проверка, что вам разрешен доступ к запрашиваемому ресурсу.
Например, при попытке попасть в закрытый клуб вас идентифицируют (спросят ваше имя и фамилию), аутентифицируют (попросят показать паспорт и сверят фотографию) и авторизуют (проверят, что фамилия находится в списке гостей), прежде чем пустят внутрь.
Аутентификация по паролю
Этот метод основывается на том, что пользователь должен предоставить username и password для успешной идентификации и аутентификации в системе. Пара username/password задается пользователем при его регистрации в системе, при этом в качестве username может выступать адрес электронной почты пользователя.
Применительно к веб-приложениям, существует несколько стандартных протоколов для аутентификации по паролю, которые мы рассмотрим ниже.
HTTP authentication
Этот протокол, описанный в стандартах HTTP 1.0/1.1, существует очень давно и работает следующим образом:
Сервер, при обращении неавторизованного клиента к защищенному ресурсу, отсылает HTTP статус «401 Unauthorized» и добавляет заголовок «WWW-Authenticate» с указанием схемы и параметров аутентификации.
Браузер, при получении такого ответа, автоматически показывает диалог ввода username и password. Пользователь вводит детали своей учетной записи.
Во всех последующих запросах к этому веб-сайту браузер автоматически добавляет HTTP заголовок «Authorization», в котором передаются данные пользователя для аутентификации сервером.
Сервер аутентифицирует пользователя по данным из этого заголовка. Решение о предоставлении доступа (авторизация) производится отдельно на основании роли пользователя, ACL или других данных учетной записи.
Весь процесс стандартизирован и хорошо поддерживается всеми браузерами и веб-серверами. Существует несколько схем аутентификации, отличающихся по уровню безопасности:
Basic — наиболее простая схема, при которой username и password пользователя передаются в заголовке Authorization в незашифрованном виде (base64-encoded). Однако при использовании HTTPS (HTTP over SSL) протокола, является относительно безопасной.
Пример работы на PHP рассмотрен в статье HTTP-аутентификация
Digest — challenge-response-схема, при которой сервер посылает уникальное значение nonce, а браузер передает MD5 хэш пароля пользователя, вычисленный с использованием указанного nonce. Более безопасная альтернативв Basic схемы при незащищенных соединениях, но подвержена man-in-the-middle attacks (с заменой схемы на basic). Кроме того, использование этой схемы не позволяет применить современные хэш-функции для хранения паролей пользователей на сервере.
NTLM (известная как Windows authentication) — также основана на challenge-response подходе, при котором пароль не передается в чистом виде. Эта схема не является стандартом HTTP, но поддерживается большинством браузеров и веб-серверов. Преимущественно используется для аутентификации пользователей Windows Active Directory в веб-приложениях. Уязвима к pass-the-hash-атакам.
Negotiate — еще одна схема из семейства Windows authentication, которая позволяет клиенту выбрать между NTLM и Kerberos аутентификацией. Kerberos — более безопасный протокол, основанный на принципе Single Sign-On. Однако он может функционировать, только если и клиент, и сервер находятся в зоне intranet и являются частью домена Windows.
Стоит отметить, что при использовании HTTP-аутентификации у пользователя нет стандартной возможности выйти из веб-приложения, кроме как закрыть все окна браузера.
Forms authentication
Для этого протокола нет определенного стандарта, поэтому все его реализации специфичны для конкретных систем, а точнее, для модулей аутентификации фреймворков разработки.
Работает это по следующему принципу: в веб-приложение включается HTML-форма, в которую пользователь должен ввести свои username/password и отправить их на сервер через HTTP POST для аутентификации. В случае успеха веб-приложение создает session token, который обычно помещается в browser cookies. При последующих веб-запросах session token автоматически передается на сервер и позволяет приложению получить информацию о текущем пользователе для авторизации запроса.
Приложение может создать session token двумя способами:
Как идентификатор аутентифицированной сессии пользователя, которая хранится в памяти сервера или в базе данных. Сессия должна содержать всю необходимую информацию о пользователе для возможности авторизации его запросов.
Как зашифрованный и/или подписанный объект, содержащий данные о пользователе, а также период действия. Этот подход позволяет реализовать stateless-архитектуру сервера, однако требует механизма обновления сессионного токена по истечении срока действия. Несколько стандартных форматов таких токенов рассматриваются в секции «Аутентификация по токенам».
Необходимо понимать, что перехват session token зачастую дает аналогичный уровень доступа, что и знание username/password. Поэтому все коммуникации между клиентом и сервером в случае forms authentication должны производиться только по защищенному соединению HTTPS.
Другие протоколы аутентификации по паролю
Два протокола, описанных выше, успешно используются для аутентификации пользователей на веб-сайтах. Но при разработке клиент-серверных приложений с использованием веб-сервисов (например, iOS или Android), наряду с HTTP аутентификацией, часто применяются нестандартные протоколы, в которых данные для аутентификации передаются в других частях запроса.
Существует всего несколько мест, где можно передать username и password в HTTP запросах:
URL query — считается небезопасным вариантом, т. к. строки URL могут запоминаться браузерами, прокси и веб-серверами.
Request body — безопасный вариант, но он применим только для запросов, содержащих тело сообщения (такие как POST, PUT, PATCH).
HTTP header — оптимальный вариант, при этом могут использоваться и стандартный заголовок Authorization (например, с Basic-схемой), и другие произвольные заголовки.
Аутентификация по сертификатам
Сертификат представляет собой набор атрибутов, идентифицирующих владельца, подписанный certificate authority (CA). CA выступает в роли посредника, который гарантирует подлинность сертификатов (по аналогии с ФМС, выпускающей паспорта). Также сертификат криптографически связан с закрытым ключом, которых хранится у владельца сертификата и позволяет однозначно подтвердить факт владения сертификатом.
На стороне клиента сертификат вместе с закрытым ключом могут храниться в операционной системе, в браузере, в файле, на отдельном физическом устройстве (smart card, USB token). Обычно закрытый ключ дополнительно защищен паролем или PIN-кодом.
В веб-приложениях традиционно используют сертификаты стандарта X.509. Аутентификация с помощью X.509-сертификата происходит в момент соединения с сервером и является частью протокола SSL/TLS. Этот механизм также хорошо поддерживается браузерами, которые позволяют пользователю выбрать и применить сертификат, если веб-сайт допускает такой способ аутентификации.
Использование сертификатов для аутентификации — куда более надежный способ, чем аутентификация посредством паролей. Это достигается созданием в процессе аутентификации цифровой подписи, наличие которой доказывает факт применения закрытого ключа в конкретной ситуации (non-repudiation). Однако трудности с распространением и поддержкой сертификатов делает такой способ аутентификации малодоступным в широких кругах.
Аутентификация по одноразовым паролям
Аутентификация по одноразовым паролям обычно применяется дополнительно к аутентификации по паролям для реализации two-factor authentication (2FA). В этой концепции пользователю необходимо предоставить данные двух типов для входа в систему: что-то, что он знает (например, пароль), и что-то, чем он владеет (например, устройство для генерации одноразовых паролей). Наличие двух факторов позволяет в значительной степени увеличить уровень безопасности, что м. б. востребовано для определенных видов веб-приложений.
Аутентификация по ключам доступа
Этот способ чаще всего используется для аутентификации устройств, сервисов или других приложений при обращении к веб-сервисам. Здесь в качестве секрета применяются ключи доступа (access key, API key) — длинные уникальные строки, содержащие произвольный набор символов, по сути заменяющие собой комбинацию username/password.
В большинстве случаев, сервер генерирует ключи доступа по запросу пользователей, которые далее сохраняют эти ключи в клиентских приложениях. При создании ключа также возможно ограничить срок действия и уровень доступа, который получит клиентское приложение при аутентификации с помощью этого ключа.
Аутентификация по токенам
Такой способ аутентификации чаще всего применяется при построении распределенных систем Single Sign-On (SSO), где одно приложение (service provider или relying party) делегирует функцию аутентификации пользователей другому приложению (identity provider или authentication service). Типичный пример этого способа — вход в приложение через учетную запись в социальных сетях. Здесь социальные сети являются сервисами аутентификации, а приложение доверяет функцию аутентификации пользователей социальным сетям.
Стандарты OAuth и OpenID Connect
В отличие от SAML и WS-Federation, стандарт OAuth (Open Authorization) не описывает протокол аутентификации пользователя. Вместо этого он определяет механизм получения доступа одного приложения к другому от имени пользователя. Однако существуют схемы, позволяющие осуществить аутентификацию пользователя на базе этого стандарта (об этом — ниже).
Первая версия стандарта разрабатывалась в 2007 – 2010 гг., а текущая версия 2.0 опубликована в 2012 г. Версия 2.0 значительно расширяет и в то же время упрощает стандарт, но обратно несовместима с версией 1.0. Сейчас OAuth 2.0 очень популярен и используется повсеместно для предоставления делегированного доступа и третье-сторонней аутентификации пользователей.
Чтобы лучше понять сам стандарт, рассмотрим пример веб-приложения, которое помогает пользователям планировать путешествия. Как часть функциональности оно умеет анализировать почту пользователей на наличие писем с подтверждениями бронирований и автоматически включать их в планируемый маршрут. Возникает вопрос, как это веб-приложение может безопасно получить доступ к почте пользователей, например, к Gmail?
Попросить пользователя указать данные своей учетной записи? — плохой вариант.
Попросить пользователя создать ключ доступа? — возможно, но весьма сложно.
Как раз эту проблему и позволяет решить стандарт OAuth: он описывает, как приложение путешествий (client) может получить доступ к почте пользователя (resource server) с разрешения пользователя (resource owner). В общем виде весь процесс состоит из нескольких шагов:
Пользователь (resource owner) дает разрешение приложению (client) на доступ к определенному ресурсу в виде гранта. Что такое грант, рассмотрим чуть ниже.
Приложение обращается к серверу авторизации и получает токен доступа к ресурсу в обмен на свой грант. В нашем примере сервер авторизации — Google. При вызове приложение дополнительно аутентифицируется при помощи ключа доступа, выданным ему при предварительной регистрации.
Приложение использует этот токен для получения требуемых данных от сервера ресурсов (в нашем случае — сервис Gmail).
Стандарт описывает четыре вида грантов, которые определяют возможные сценарии применения:
- Authorization Code — этот грант пользователь может получить от сервера авторизации после успешной аутентификации и подтверждения согласия на предоставление доступа. Такой способ наиболее часто используется в веб-приложениях. Процесс получения гранта очень похож на механизм аутентификации пассивных клиентов в SAML и WS-Federation.
- Implicit — применяется, когда у приложения нет возможности безопасно получить токен от сервера авторизации (например, JavaScript-приложение в браузере). В этом случае грант представляет собой токен, полученный от сервера авторизации, а шаг № 2 исключается из сценария выше.
- Resource Owner Password Credentials — грант представляет собой пару username/password пользователя. Может применяться, если приложение является «интерфейсом» для сервера ресурсов (например, приложение — мобильный клиент для Gmail).
- Client Credentials — в этом случае нет никакого пользователя, а приложение получает доступ к своим ресурсам при помощи своих ключей доступа (исключается шаг № 1).
Стандарт не определяет формат токена, который получает приложение: в сценариях, адресуемых стандартом, приложению нет необходимости анализировать токен, т. к. он лишь используется для получения доступа к ресурсам. Поэтому ни токен, ни грант сами по себе не могут быть использованы для аутентификации пользователя. Однако если приложению необходимо получить достоверную информацию о пользователе, существуют несколько способов это сделать:
Зачастую API сервера ресурсов включает операцию, предоставляющую информацию о самом пользователе (например, /me в Facebook API). Приложение может выполнять эту операцию каждый раз после получения токена для идентификации клиента. Такой метод иногда называют псевдо-аутентификацией.
Использовать стандарт OpenID Connect, разработанный как слой учетных данных поверх OAuth (опубликован в 2014 г.). В соответствии с этим стандартом, сервер авторизации предоставляет дополнительный identity token на шаге № 2. Этот токен в формате JWT будет содержать набор определенных полей (claims) с информацией о пользователе.
Стоит заметить, что OpenID Connect, заменивший предыдущие версии стандарта OpenID 1.0 и 2.0, также содержит набор необязательных дополнений для поиска серверов авторизации, динамической регистрации клиентов и управления сессией пользователя.
Реклама
Битрикс. Регистрация и авторизация. Часть 3 из 3. Категория: Web-разработка • CMS Битрикс
Компонент «Профиль пользователя» позволяет вывести в публичную часть сайта информацию о пользователе. Некоторые поля пользователь может отредактировать. В визуальном редакторе компонент расположен по пути: «Служебные • Пользователь • Параметры пользователя».
Пример вызова компонента bitrix:main.profile
:
$APPLICATION->IncludeComponent( "bitrix:main.profile", "", array( "USER_PROPERTY_NAME" => "", "SET_TITLE" => "Y", "AJAX_MODE" => "N", "USER_PROPERTY" => array(), "SEND_INFO" => "Y", "CHECK_RIGHTS" => "Y", "AJAX_OPTION_JUMP" => "N", "AJAX_OPTION_STYLE" => "Y", "AJAX_OPTION_HISTORY" => "N" ) );
Давайте создадим страницу /auth/profile.php
и разместим на ней вызов компонента «Профиль пользователя»:
<?php /* * Файл /auth/profile.php */ require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php"); $APPLICATION->SetTitle("Профиль пользователя"); ?> <?php $APPLICATION->IncludeComponent( "bitrix:main.profile", "", array( "CHECK_RIGHTS" => "N", // Проверять права доступа "SEND_INFO" => "N", // Генерировать почтовое событие "SET_TITLE" => "N", // Устанавливать заголовок страницы "USER_PROPERTY" => "", // Показывать доп. свойства "USER_PROPERTY_NAME" => "", // Название закладки с доп. свойствами ), false ); ?> <?php require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php"); ?>
Страница /auth/profile.php
теперь выглядит так:
Скопируем шаблон компонента:
- откуда:
bitrix/components/bitrix/main.profile/templates/.default
- куда:
local/templates/.default/components/bitrix/main.profile/.default
После разгребания табличной верстки от разработчиков Битрикс, получился такой шаблон:
<?php /* * Файл local/templates/.default/components/bitrix/main.profile/.default/template.php */ if (!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED !== true) die(); ?> <div> <h3><?= GetMessage('MAIN_PROFILE_FORM_TITLE'); /* Заголовок формы */ ?></h3> <?php ShowError($arResult["strProfileError"]); /* сообщения об ошибках */ ?> <?php if ($arResult['DATA_SAVED'] == 'Y') { // сообщение об успешном сохранении данных ShowNote(GetMessage('PROFILE_DATA_SAVED')); } ?> <form method="post" name="form1" action="<?= $arResult["FORM_TARGET"]; ?>" enctype="multipart/form-data"> <?= $arResult["BX_SESSION_CHECK"]; ?> <input type="hidden" name="lang" value="<?= LANG; ?>" /> <input type="hidden" name="ID" value=<?= $arResult["ID"]; ?> /> <section> <h4><?= GetMessage('MAIN_PROFILE_REGISTER_TITLE'); /* Регистрационные данные */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_REG_TITLE'); /* обращение */ ?></span> <span> <input type="text" name="TITLE" value="<?= $arResult["arUser"]["TITLE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_FNAME'); /* имя */ ?></span> <span> <input type="text" name="NAME" maxlength="50" value="<?= $arResult["arUser"]["NAME"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_LNAME'); /* фамилия */ ?></span> <span> <input type="text" name="LAST_NAME" maxlength="50" value="<?= $arResult["arUser"]["LAST_NAME"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_SNAME'); /* отчество */ ?></span> <span> <input type="text" name="SECOND_NAME" maxlength="50" value="<?= $arResult["arUser"]["SECOND_NAME"];?>" /> </span> </div> <div> <span> <?= GetMessage('MAIN_PROFILE_REG_EMAIL'); /* e-mail */ ?> <?php if ($arResult["EMAIL_REQUIRED"]): ?> <i>*</i> <!-- поле обязательно для заполнения --> <?php endif; ?> </span> <span> <input type="text" name="EMAIL" maxlength="50" value="<?= $arResult["arUser"]["EMAIL"]?>" /> </span> </div> <div> <span> <?= GetMessage('MAIN_PROFILE_REG_LOGIN'); /* логин */ ?> <i>*</i> <!-- поле обязательно для заполнения --> </span> <span> <input type="text" name="LOGIN" maxlength="50" value="<?= $arResult["arUser"]["LOGIN"]?>" /> </span> </div> <?php if ($arResult["arUser"]["EXTERNAL_AUTH_ID"] == ''): /* авторизация не через внешние сервисы */ ?> <div> <span><?= GetMessage('MAIN_PROFILE_REG_PASSWORD'); /* новый пароль */ ?></span> <span> <input type="password" name="NEW_PASSWORD" maxlength="50" value="" autocomplete="off" /> </span> <?php if ($arResult["SECURE_AUTH"]): /* безопасная авторизация */ ?> <!-- код удален --> <?php endif; ?> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_CONFIRM'); /* подтверждение пароля */ ?></span> <span> <input type="password" name="NEW_PASSWORD_CONFIRM" maxlength="50" value="" autocomplete="off" /> </span> </div> <?php endif; ?> </section> <section> <h4><?= GetMessage('MAIN_PROFILE_PERSONAL_TITLE'); /* Личные данные */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PROFESSION'); /* профессия */ ?></span> <span> <input type="text" name="PERSONAL_PROFESSION" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_PROFESSION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_WWW'); /* сайт */ ?></span> <span> <input type="text" name="PERSONAL_WWW" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_WWW"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_ICQ'); /* ICQ */ ?></span> <span> <input type="text" name="PERSONAL_ICQ" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_ICQ"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_GENDER'); /* пол */ ?></span> <span> <select name="PERSONAL_GENDER"> <option value=""> <?= GetMessage('MAIN_PROFILE_DONT_KNOW'); ?> </option> <option value="M"<?=$arResult["arUser"]["PERSONAL_GENDER"]=="M" ? ' selected="selected"':''?>> <?= GetMessage("USER_MALE"); ?> </option> <option value="F"<?=$arResult["arUser"]["PERSONAL_GENDER"]=="F" ? ' selected="selected"':''?>> <?= GetMessage("USER_FEMALE"); ?> </option> </select> </span> </div> <div> <span> <?= GetMessage('MAIN_PROFILE_USER_BIRTHDAY'); /* день рождения */ ?> (<?= $arResult["DATE_FORMAT"]; ?>) </span> <span> <?php $APPLICATION->IncludeComponent( 'bitrix:main.calendar', '', array( 'SHOW_INPUT' => 'Y', 'FORM_NAME' => 'form1', 'INPUT_NAME' => 'PERSONAL_BIRTHDAY', 'INPUT_VALUE' => $arResult["arUser"]["PERSONAL_BIRTHDAY"], 'SHOW_TIME' => 'N' ), null, array('HIDE_ICONS' => 'Y') ); ?> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PHOTO'); /* фотография */ ?></span> <span> <?= $arResult["arUser"]["PERSONAL_PHOTO_INPUT"]; ?> <?php if (strlen($arResult["arUser"]["PERSONAL_PHOTO"]) > 0) { echo $arResult["arUser"]["PERSONAL_PHOTO_HTML"]; } ?> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PHONE'); /* телефон */ ?></span> <span> <input type="text" name="PERSONAL_PHONE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_PHONE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_FAX'); /* факс */ ?></span> <span> <input type="text" name="PERSONAL_FAX" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_FAX"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_MOBILE'); /* мобильный */ ?></span> <span> <input type="text" name="PERSONAL_MOBILE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_MOBILE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PAGER'); /* пейджер */ ?></span> <span> <input type="text" name="PERSONAL_PAGER" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_PAGER"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_COUNTRY'); /* страна */ ?></span> <span><?= $arResult["COUNTRY_SELECT"]; ?></span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_STATE'); /* область */ ?></span> <span> <input type="text" name="PERSONAL_STATE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_STATE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_CITY'); /* город */ ?></span> <span> <input type="text" name="PERSONAL_CITY" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_CITY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_ZIP'); /* почтовый индекс */ ?></span> <span> <input type="text" name="PERSONAL_ZIP" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_ZIP"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_STREET'); /* улица */ ?></span> <span> <textarea name="PERSONAL_STREET"><?= $arResult["arUser"]["PERSONAL_STREET"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_MAILBOX'); /* почтовый ящик */ ?></span> <span> <input type="text" name="PERSONAL_MAILBOX" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_MAILBOX"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_NOTES'); /* дополнительные заметки */ ?></span> <span> <textarea name="PERSONAL_NOTES"><?=$arResult["arUser"]["PERSONAL_NOTES"]?></textarea> </span> </div> </section> <section> <h4><?= GetMessage('MAIN_PROFILE_WORK_TITLE'); /* Информация о работе */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_COMPANY'); /* компания */ ?></span> <span> <input type="text" name="WORK_COMPANY" maxlength="255" value="<?= $arResult["arUser"]["WORK_COMPANY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_WWW'); /* сайт */ ?></span> <span> <input type="text" name="WORK_WWW" maxlength="255" value="<?= $arResult["arUser"]["WORK_WWW"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_DEPARTMENT'); /* отдел */ ?></span> <span> <input type="text" name="WORK_DEPARTMENT" maxlength="255" value="<?= $arResult["arUser"]["WORK_DEPARTMENT"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_POSITION'); /* должность */ ?></span> <span> <input type="text" name="WORK_POSITION" maxlength="255" value="<?= $arResult["arUser"]["WORK_POSITION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_PROFILE'); /* направление деятельности */ ?></span> <span> <textarea name="WORK_PROFILE"><?= $arResult["arUser"]["WORK_PROFILE"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_LOGO'); /* логотип компании */ ?></span> <span> <?= $arResult["arUser"]["WORK_LOGO_INPUT"]; ?> <?php if (strlen($arResult["arUser"]["WORK_LOGO"]) > 0) { echo $arResult["arUser"]["WORK_LOGO_HTML"]; } ?> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_PHONE'); /* телефон */ ?></span> <span> <input type="text" name="WORK_PHONE" maxlength="255" value="<?= $arResult["arUser"]["WORK_PHONE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_FAX'); /* факс */ ?></span> <span> <input type="text" name="WORK_FAX" maxlength="255" value="<?= $arResult["arUser"]["WORK_FAX"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_PAGER'); /* пейджер */ ?></span> <span> <input type="text" name="WORK_PAGER" maxlength="255" value="<?= $arResult["arUser"]["WORK_PAGER"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_COUNTRY'); /* страна */ ?></span> <span><?= $arResult["COUNTRY_SELECT_WORK"]?></span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_STATE'); /* область */ ?></span> <span> <input type="text" name="WORK_STATE" maxlength="255" value="<?= $arResult["arUser"]["WORK_STATE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_CITY'); /* город */ ?></span> <span> <input type="text" name="WORK_CITY" maxlength="255" value="<?= $arResult["arUser"]["WORK_CITY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_ZIP'); /* почтовый индекс */ ?></span> <span> <input type="text" name="WORK_ZIP" maxlength="255" value="<?= $arResult["arUser"]["WORK_ZIP"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_STREET'); /* улица */ ?></span> <span> <textarea name="WORK_STREET"><?= $arResult["arUser"]["WORK_STREET"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_MAILBOX'); /* почтовый ящик */ ?></span> <span> <input type="text" name="WORK_MAILBOX" maxlength="255" value="<?= $arResult["arUser"]["WORK_MAILBOX"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_NOTES'); /* дополнительные заметки */ ?></span> <span> <textarea name="WORK_NOTES"><?= $arResult["arUser"]["WORK_NOTES"]; ?></textarea> </span> </div> </section> <?php if ($arResult["INCLUDE_FORUM"] == "Y"): /* если на сайте есть форум */ ?> <section> <h4><?= GetMessage('MAIN_PROFILE_FORUM_TITLE'); ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_FORUM_SHOW_NAME'); ?></span> <span> <input type="hidden" name="forum_SHOW_NAME" value="N" /> <input type="checkbox" name="forum_SHOW_NAME" value="Y" <?php if ($arResult["arForumUser"]["SHOW_NAME"]=="Y") echo 'checked="checked"';?> /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_FORUM_DESCRIPTION'); ?></span> <span> <input type="text" name="forum_DESCRIPTION" maxlength="255" value="<?= $arResult["arForumUser"]["DESCRIPTION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_FORUM_INTERESTS'); ?></span> <span> <textarea name="forum_INTERESTS"><?= $arResult["arForumUser"]["INTERESTS"]; ?></textarea> </span> </div> <div> <span><?= GetMessage($MESS['MAIN_PROFILE_FORUM_SIGNATURE']); ?></span> <span> <textarea name="forum_SIGNATURE"><?= $arResult["arForumUser"]["SIGNATURE"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_FORUM_AVATAR'); ?></span> <span> <?= $arResult["arForumUser"]["AVATAR_INPUT"]; ?> <?php if (strlen($arResult["arForumUser"]["AVATAR"]) > 0) { echo $arResult["arForumUser"]["AVATAR_HTML"]; } ?> </span> </div> </section> <?php endif; ?> <?php if ($arResult["INCLUDE_BLOG"] == "Y"): /* если на сайте есть блог */ ?> <section> <h4><?= GetMessage('MAIN_PROFILE_BLOG_TITLE'); ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_BLOG_ALIAS')?></span> <span> <input type="text" name="blog_ALIAS" maxlength="255" value="<?= $arResult["arBlogUser"]["ALIAS"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_BLOG_DESCRIPTION'); ?></span> <span> <input type="text" name="blog_DESCRIPTION" maxlength="255" value="<?= $arResult["arBlogUser"]["DESCRIPTION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_BLOG_INTERESTS')?></span> <span> <textarea name="blog_INTERESTS"><?= $arResult["arBlogUser"]["INTERESTS"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_BLOG_AVATAR')?></span> <span> <?= $arResult["arBlogUser"]["AVATAR_INPUT"]; ?> <?php if (strlen($arResult["arBlogUser"]["AVATAR"]) > 0) { echo $arResult["arBlogUser"]["AVATAR_HTML"]; } ?> </span> </div> </section> <?php endif; ?> <?php if ($arResult["INCLUDE_LEARNING"] == "Y"): /* профиль студента */ ?> <section> <h4><?= GetMessage('MAIN_PROFILE_STUDENT_TITLE')?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_STUDENT_PUBLIC');?>:</span> <span> <input type="hidden" name="student_PUBLIC_PROFILE" value="N" /> <input type="checkbox" name="student_PUBLIC_PROFILE" value="Y" <?php if ($arResult["arStudent"]["PUBLIC_PROFILE"]=="Y") echo 'checked="checked"'; ?> /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_STUDENT_RESUME'); ?></span> <span> <textarea name="student_RESUME"><?= $arResult["arStudent"]["RESUME"]; ?></textarea> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_STUDENT_TRANSCRIPT'); ?></span> <span><?= $arResult["arStudent"]["TRANSCRIPT"]; ?>-<?= $arResult["ID"]; ?></span> </div> </section> <?php endif; ?> <?php if ($arResult["IS_ADMIN"]): /* если это администратор */ ?> <section> <h4><?= GetMessage('MAIN_PROFILE_ADMIN_NOTES'); ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_ADMIN_NOTES'); ?></span> <span> <textarea name="ADMIN_NOTES"><?= $arResult["arUser"]["ADMIN_NOTES"]; ?></textarea> </span> </div> </section> <?php endif; ?> <?php /***** Пользовательские свойства *****/ ?> <?php if ($arResult["USER_PROPERTIES"]["SHOW"] == "Y"): ?> <section> <h4> <?= strlen(trim($arParams["USER_PROPERTY_NAME"])) > 0 ? $arParams["USER_PROPERTY_NAME"] : GetMessage("USER_TYPE_EDIT_TAB"); ?> </h4> <?php foreach ($arResult["USER_PROPERTIES"]["DATA"] as $FIELD_NAME => $arUserField):?> <div> <span> <?php if ($arUserField["MANDATORY"]=="Y"): ?> <i>*</i> <!-- поле обязательно для заполнения --> <?php endif; ?> <?= $arUserField["EDIT_FORM_LABEL"]; ?> </span> <span> <?php $APPLICATION->IncludeComponent( "bitrix:system.field.edit", $arUserField["USER_TYPE"]["USER_TYPE_ID"], array( "bVarsFromForm" => $arResult["bVarsFromForm"], "arUserField" => $arUserField ), null, array("HIDE_ICONS"=>"Y") ); ?> </span> </div> <?php endforeach; ?> </section> <?php endif; ?> <?php /***** /Пользовательские свойства *****/ ?> <div> <input type="submit" name="save" value="<?= GetMessage('MAIN_PROFILE_FORM_SUBMIT'); ?>"> <input type="reset" value="<?= GetMessage('MAIN_PROFILE_FORM_RESET'); ?>"> </p> </form> <p><?= $arResult["GROUP_POLICY"]["PASSWORD_REQUIREMENTS"]; /* сообщение о min длине пароля */ ?></p> <p><i>*</i> <?= GetMessage('MAIN_PROFILE_FORM_REQUIRED'); /* Эти поля обязательны для заполнения */ ?></p> <?php if ($arResult["SOCSERV_ENABLED"]) { $APPLICATION->IncludeComponent( // связать этот профиль с профилями в социальных сетях "bitrix:socserv.auth.split", ".default", array( "SHOW_PROFILES" => "Y", "ALLOW_DELETE" => "Y" ), false ); } ?> </div>
Полей слишком много, поэтому часть из них я удалил. Кроме того, удалил профили для форума и блога. Переделал языковый файл и добавил стили.
<?php /* * Файл local/templates/.default/components/bitrix/main.profile/.default/lang/ru/template.php */ $MESS['MAIN_PROFILE_FORM_TITLE'] = 'Профиль пользователя'; $MESS['MAIN_PROFILE_DATA_SAVED'] = 'Изменения сохранены'; $MESS['MAIN_PROFILE_FORM_SUBMIT'] = 'Сохранить'; $MESS['MAIN_PROFILE_FORM_RESET'] = 'Сбросить'; $MESS['MAIN_PROFILE_FORM_REQUIRED'] = 'Эти поля обязательны для заполнения'; $MESS['MAIN_PROFILE_LAST_UPDATE'] = 'Дата обновления'; $MESS['MAIN_PROFILE_LAST_LOGIN'] = 'Последняя авторизация'; $MESS['MAIN_PROFILE_DONT_KNOW'] = 'Нет данных'; // заголовки разделов профиля пользователя $MESS['MAIN_PROFILE_REGISTER_TITLE'] = 'Регистрационные данные'; $MESS['MAIN_PROFILE_PERSONAL_TITLE'] = 'Личные данные'; $MESS['MAIN_PROFILE_WORK_TITLE'] = 'Информация о работе'; $MESS['MAIN_PROFILE_FORUM_TITLE'] = 'Профиль на форуме'; $MESS['MAIN_PROFILE_BLOG_TITLE'] = 'Профиль в блоге'; $MESS['MAIN_PROFILE_STUDENT_TITLE'] = 'Профиль студента'; $MESS['MAIN_PROFILE_ADMIN_NOTES'] = 'Заметки администратора'; // раздел: Профиль пользователя $MESS['MAIN_PROFILE_REG_TITLE'] = 'Обращение'; $MESS['MAIN_PROFILE_REG_FNAME'] = 'Имя'; $MESS['MAIN_PROFILE_REG_LNAME'] = 'Фамилия'; $MESS['MAIN_PROFILE_REG_SNAME'] = 'Отчество'; $MESS['MAIN_PROFILE_REG_EMAIL'] = 'E-mail'; $MESS['MAIN_PROFILE_REG_LOGIN'] = 'Логин'; $MESS['MAIN_PROFILE_REG_PASSWORD'] = 'Новый пароль'; $MESS['MAIN_PROFILE_REG_CONFIRM'] = 'Подтверждение пароля'; // раздел: Личные данные $MESS['MAIN_PROFILE_USER_PROFESSION'] = 'Профессия'; $MESS['MAIN_PROFILE_USER_WWW'] = 'Сайт'; $MESS['MAIN_PROFILE_USER_ICQ'] = 'ICQ'; $MESS['MAIN_PROFILE_USER_GENDER'] = 'Пол'; $MESS['MAIN_PROFILE_USER_MALE'] = 'Мужской'; $MESS['MAIN_PROFILE_USER_FEMALE'] = 'Женский'; $MESS['MAIN_PROFILE_USER_BIRTHDAY'] = 'Дата рождения'; $MESS['MAIN_PROFILE_USER_PHOTO'] = 'Фотография'; $MESS['MAIN_PROFILE_USER_PHONE'] = 'Телефон'; $MESS['MAIN_PROFILE_USER_FAX'] = 'Факс'; $MESS['MAIN_PROFILE_USER_MOBILE'] = 'Мобильный'; $MESS['MAIN_PROFILE_USER_PAGER'] = 'Пейджер'; $MESS['MAIN_PROFILE_USER_PHONES'] = 'Телефоны'; $MESS['MAIN_PROFILE_USER_ADDRESS'] = 'Почтовый адрес'; $MESS['MAIN_PROFILE_USER_COUNTRY'] = 'Страна'; $MESS['MAIN_PROFILE_USER_CITY'] = 'Город'; $MESS['MAIN_PROFILE_USER_ZIP'] = 'Почтовый индекс'; $MESS['MAIN_PROFILE_USER_STREET'] = 'Улица, дом'; $MESS['MAIN_PROFILE_USER_STATE'] = 'Область / край'; $MESS['MAIN_PROFILE_USER_MAILBOX'] = 'Почтовый ящик'; $MESS['MAIN_PROFILE_USER_NOTES'] = 'Дополнительные заметки'; // раздел: Информация о работе $MESS['MAIN_PROFILE_WORK_COMPANY'] = 'Наименование компании'; $MESS['MAIN_PROFILE_WORK_WWW'] = 'Сайт компании'; $MESS['MAIN_PROFILE_WORK_DEPARTMENT'] = 'Департамент / Отдел'; $MESS['MAIN_PROFILE_WORK_POSITION'] = 'Должность'; $MESS['MAIN_PROFILE_WORK_PROFILE'] = 'Направление деятельности'; $MESS['MAIN_PROFILE_WORK_LOGO'] = 'Логотип компании'; $MESS['MAIN_PROFILE_WORK_PHONE'] = 'Телефон'; $MESS['MAIN_PROFILE_WORK_FAX'] = 'Факс'; $MESS['MAIN_PROFILE_WORK_MOBILE'] = 'Мобильный'; $MESS['MAIN_PROFILE_WORK_PAGER'] = 'Пейджер'; $MESS['MAIN_PROFILE_WORK_PHONES'] = 'Телефоны'; $MESS['MAIN_PROFILE_WORK_ADDRESS'] = 'Почтовый адрес'; $MESS['MAIN_PROFILE_WORK_COUNTRY'] = 'Страна'; $MESS['MAIN_PROFILE_WORK_CITY'] = 'Город'; $MESS['MAIN_PROFILE_WORK_ZIP'] = 'Почтовый индекс'; $MESS['MAIN_PROFILE_WORK_STREET'] = 'Улица, дом'; $MESS['MAIN_PROFILE_WORK_STATE'] = 'Область / край'; $MESS['MAIN_PROFILE_WORK_MAILBOX'] = 'Почтовый ящик'; $MESS['MAIN_PROFILE_WORK_NOTES'] = 'Дополнительные заметки'; // раздел: Профиль на форуме $MESS['MAIN_PROFILE_FORUM_SHOW_NAME'] = 'Показывать имя'; $MESS['MAIN_PROFILE_FORUM_DESCRIPTION'] = 'Пояснение'; $MESS['MAIN_PROFILE_FORUM_INTERESTS'] = 'Интересы'; $MESS['MAIN_PROFILE_FORUM_SIGNATURE'] = 'Подпись'; $MESS['MAIN_PROFILE_FORUM_AVATAR'] = 'Аватар'; // раздел: Профиль в блоге $MESS['MAIN_PROFILE_BLOG_ALIAS'] = 'Псевдоним'; $MESS['MAIN_PROFILE_BLOG_DESCRIPTION'] = 'Пояснение'; $MESS['MAIN_PROFILE_BLOG_INTERESTS'] = 'Интересы'; $MESS['MAIN_PROFILE_BLOG_AVATAR'] = 'Аватар'; // раздел: Профиль студента $MESS['MAIN_PROFILE_STUDENT_PUBLIC'] = 'Разрешить публичный доступ'; $MESS['MAIN_PROFILE_STUDENT_RESUME'] = 'Резюме'; $MESS['MAIN_PROFILE_STUDENT_TRANSCRIPT'] = 'Transcript';
<?php /* * Файл local/templates/.default/components/bitrix/main.profile/.default/template.php */ if (!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED !== true) die(); ?> <div> <h3><?= GetMessage('MAIN_PROFILE_FORM_TITLE'); /* Заголовок формы */ ?></h3> <?php ShowError($arResult["strProfileError"]); /* сообщения об ошибках */ ?> <?php if ($arResult['DATA_SAVED'] == 'Y') { // сообщение об успешном сохранении данных ShowNote(GetMessage('PROFILE_DATA_SAVED')); } ?> <form method="post" name="form1" action="<?= $arResult["FORM_TARGET"]; ?>" enctype="multipart/form-data"> <?= $arResult["BX_SESSION_CHECK"]; ?> <input type="hidden" name="lang" value="<?= LANG; ?>" /> <input type="hidden" name="ID" value=<?= $arResult["ID"]; ?> /> <!-- в качестве логина используется e-mail --> <input type="hidden" name="LOGIN" maxlength="50" value="<?= $arResult["arUser"]["EMAIL"]; ?>" /> <section> <h4><?= GetMessage('MAIN_PROFILE_REGISTER_TITLE'); /* Регистрационные данные */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_REG_FNAME'); /* имя */ ?></span> <span> <input type="text" name="NAME" maxlength="50" value="<?= $arResult["arUser"]["NAME"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_LNAME'); /* фамилия */ ?></span> <span> <input type="text" name="LAST_NAME" maxlength="50" value="<?= $arResult["arUser"]["LAST_NAME"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_SNAME'); /* отчество */ ?></span> <span> <input type="text" name="SECOND_NAME" maxlength="50" value="<?= $arResult["arUser"]["SECOND_NAME"]; ?>" /> </span> </div> <div> <span> <?= GetMessage('MAIN_PROFILE_REG_EMAIL'); /* e-mail */ ?> <?php if ($arResult["EMAIL_REQUIRED"]): ?> <i>*</i> <!-- поле обязательно для заполнения --> <?php endif; ?> </span> <span> <input type="text" name="EMAIL" maxlength="50" value="<?= $arResult["arUser"]["EMAIL"]; ?>" /> </span> </div> <?php if ($arResult["arUser"]["EXTERNAL_AUTH_ID"] == ''): /* если авторизация не через внешние сервисы */ ?> <div> <span><?= GetMessage('MAIN_PROFILE_REG_PASSWORD'); /* новый пароль */ ?></span> <span><input type="password" name="NEW_PASSWORD" maxlength="50" value="" autocomplete="off" /></span> <?php if ($arResult["SECURE_AUTH"]): /* безопасная авторизация (зашифрованная передача пароля) */ ?> <!-- код удален --> <?php endif; ?> </div> <div> <span><?= GetMessage('MAIN_PROFILE_REG_CONFIRM'); /* подтверждение пароля */ ?></span> <span> <input type="password" name="NEW_PASSWORD_CONFIRM" maxlength="50" value="" autocomplete="off" /> </span> </div> <?php endif; ?> </section> <section> <h4><?= GetMessage('MAIN_PROFILE_PERSONAL_TITLE'); /* Личные данные */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PROFESSION'); /* профессия */ ?></span> <span> <input type="text" name="PERSONAL_PROFESSION" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_PROFESSION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_WWW'); /* сайт */ ?></span> <span> <input type="text" name="PERSONAL_WWW" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_WWW"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_ICQ'); /* ICQ */ ?></span> <span> <input type="text" name="PERSONAL_ICQ" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_ICQ"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_GENDER'); /* пол */ ?></span> <span> <select name="PERSONAL_GENDER"> <option value=""> <?= GetMessage('MAIN_PROFILE_DONT_KNOW'); ?> </option> <option value="M"<?=$arResult["arUser"]["PERSONAL_GENDER"]=="M" ? ' selected="selected"':''?>> <?= GetMessage('MAIN_PROFILE_USER_MALE'); ?> </option> <option value="F"<?=$arResult["arUser"]["PERSONAL_GENDER"]=="F" ? ' selected="selected"':''?>> <?= GetMessage('MAIN_PROFILE_USER_FEMALE'); ?> </option> </select> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_PHONE'); /* телефон */ ?></span> <span> <input type="text" name="PERSONAL_PHONE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_PHONE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_MOBILE'); /* мобильный */ ?></span> <span> <input type="text" name="PERSONAL_MOBILE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_MOBILE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_COUNTRY'); /* страна */ ?></span> <span><?= $arResult["COUNTRY_SELECT"]; ?></span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_STATE'); /* область */ ?></span> <span> <input type="text" name="PERSONAL_STATE" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_STATE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_CITY'); /* город */ ?></span> <span> <input type="text" name="PERSONAL_CITY" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_CITY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_ZIP'); /* почтовый индекс */ ?></span> <span> <input type="text" name="PERSONAL_ZIP" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_ZIP"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_STREET'); /* улица */ ?></span> <span> <input type="text" name="PERSONAL_STREET" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_STREET"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_USER_NOTES'); /* дополнительные заметки */ ?></span> <span> <input type="text" name="PERSONAL_NOTES" maxlength="255" value="<?= $arResult["arUser"]["PERSONAL_NOTES"];?>" /> </span> </div> </section> <section> <h4><?= GetMessage('MAIN_PROFILE_WORK_TITLE'); /* Информация о работе */ ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_COMPANY'); /* компания */ ?></span> <span> <input type="text" name="WORK_COMPANY" maxlength="255" value="<?= $arResult["arUser"]["WORK_COMPANY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_WWW'); /* сайт */ ?></span> <span> <input type="text" name="WORK_WWW" maxlength="255" value="<?= $arResult["arUser"]["WORK_WWW"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_DEPARTMENT'); /* отдел */ ?></span> <span> <input type="text" name="WORK_DEPARTMENT" maxlength="255" value="<?= $arResult["arUser"]["WORK_DEPARTMENT"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_POSITION'); /* должность */ ?></span> <span> <input type="text" name="WORK_POSITION" maxlength="255" value="<?= $arResult["arUser"]["WORK_POSITION"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_PROFILE'); /* направление деятельности */ ?></span> <span> <input type="text" name="WORK_PROFILE" maxlength="255" value="<?= $arResult["arUser"]["WORK_PROFILE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_PHONE'); /* телефон */ ?></span> <span> <input type="text" name="WORK_PHONE" maxlength="255" value="<?= $arResult["arUser"]["WORK_PHONE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_COUNTRY'); /* страна */ ?></span> <span><?= $arResult["COUNTRY_SELECT_WORK"]?></span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_STATE'); /* область */ ?></span> <span> <input type="text" name="WORK_STATE" maxlength="255" value="<?= $arResult["arUser"]["WORK_STATE"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_CITY'); /* город */ ?></span> <span> <input type="text" name="WORK_CITY" maxlength="255" value="<?= $arResult["arUser"]["WORK_CITY"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_ZIP'); /* почтовый индекс */ ?></span> <span> <input type="text" name="WORK_ZIP" maxlength="255" value="<?= $arResult["arUser"]["WORK_ZIP"]; ?>" /> </span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_STREET'); /* улица */ ?></span> <span><input type="text" name="WORK_STREET" maxlength="255" value="<?= $arResult["arUser"]["WORK_STREET"]; ?>" /></span> </div> <div> <span><?= GetMessage('MAIN_PROFILE_WORK_NOTES'); /* дополнительные заметки */ ?></span> <span> <input type="text" name="WORK_NOTES" maxlength="255" value="<?= $arResult["arUser"]["WORK_NOTES"]; ?>" /> </span> </div> </section> <?php if ($arResult["IS_ADMIN"]): /* если это администратор */ ?> <section> <h4><?= GetMessage('MAIN_PROFILE_ADMIN_NOTES'); ?></h4> <div> <span><?= GetMessage('MAIN_PROFILE_ADMIN_NOTES'); ?></span> <span><textarea name="ADMIN_NOTES"><?= $arResult["arUser"]["ADMIN_NOTES"]; ?></textarea></span> </div> </section> <?php endif; ?> <?php /***** Пользовательские свойства *****/ ?> <?php if ($arResult["USER_PROPERTIES"]["SHOW"] == "Y"): ?> <section> <h4> <?= strlen(trim($arParams["USER_PROPERTY_NAME"])) > 0 ? $arParams["USER_PROPERTY_NAME"] : GetMessage("USER_TYPE_EDIT_TAB"); ?> </h4> <?php foreach ($arResult["USER_PROPERTIES"]["DATA"] as $FIELD_NAME => $arUserField):?> <div> <span> <?php if ($arUserField["MANDATORY"]=="Y"): ?> <i>*</i> <!-- поле обязательно для заполнения --> <?php endif; ?> <?= $arUserField["EDIT_FORM_LABEL"]; ?> </span> <span> <?php $APPLICATION->IncludeComponent( "bitrix:system.field.edit", $arUserField["USER_TYPE"]["USER_TYPE_ID"], array( "bVarsFromForm" => $arResult["bVarsFromForm"], "arUserField" => $arUserField ), null, array("HIDE_ICONS"=>"Y") ); ?> </span> </div> <?php endforeach; ?> </section> <?php endif; ?> <?php /***** /Пользовательские свойства *****/ ?> <div> <input type="submit" name="save" value="<?= GetMessage('MAIN_PROFILE_FORM_SUBMIT'); ?>"> <input type="reset" value="<?= GetMessage('MAIN_PROFILE_FORM_RESET'); ?>"> </div> </form> <p><?= $arResult["GROUP_POLICY"]["PASSWORD_REQUIREMENTS"]; /* сообщение о min длине пароля */ ?></p> <p><i>*</i> <?= GetMessage('MAIN_PROFILE_FORM_REQUIRED'); /* Эти поля обязательны для заполнения */ ?></p> </div>
/* * Файл local/templates/.default/components/bitrix/main.profile/.default/style.css */ .bitrix-main-profile { } .bitrix-main-profile > p { margin: 1em 0; } .bitrix-main-profile > h3 { margin-bottom: 30px; } .bitrix-main-profile > p > a { text-decoration: underline; } .bitrix-main-profile > form { } .bitrix-main-profile > form > section { border: 1px solid #ccc; padding: 15px 10px 0 10px; margin-bottom: 40px; position: relative; } .bitrix-main-profile > form > section > h4 { font-size: 18px; position: absolute; top: -13px; background: #eee; padding: 0 10px; color: #999; } .bitrix-main-profile > form > section > div { width: 50%; margin-bottom: 15px; float: left; box-sizing: border-box; } .bitrix-main-profile > form > section > div:nth-of-type(even) { padding-left: 1%; } .bitrix-main-profile > form > section > div:nth-of-type(odd) { padding-right: 1%; } .bitrix-main-profile > form > section > div > span { display: block; } .bitrix-main-profile > form > section > div > span:first-child { margin-bottom: 5px; } .bitrix-main-profile > form > section > div > span input[type="text"], .bitrix-main-profile > form > section > div > span input[type="password"], .bitrix-main-profile > form > section > div > span select { width: 100%; padding: 5px; border: 1px solid #ccc; height: 30px; } .bitrix-main-profile > form > section:last-of-type { margin-bottom: 20px; } .bitrix-main-profile > form > section.admin-notes > div { width: 100%; } .bitrix-main-profile > form > section.admin-notes > div > span > textarea { width: 100%; } .bitrix-main-profile > form > div > input[type="submit"], .bitrix-main-profile > form > div > input[type="reset"] { width: 15%; padding: 5px; background: #333; color: #fff; border: none; margin-top: 10px; } .bitrix-main-profile i { font-style: normal; font-weight: bold; color: #f00; }
И вот что получилось в результате:
Добавим ссылку на профиль пользователя в файл /auth/index.php
:
<?php // обратите внимание на эту константу define("NEED_AUTH", true); require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php"); $APPLICATION->SetTitle("Авторизация и регистрация"); ?> <p>Вы зарегистрированы и успешно авторизовались.</p> <p><a href="/auth/profile.php">Мой профиль</a></p> <?php // ссылка для выхода из личного кабинета $logout = $APPLICATION->GetCurPageParam( "logout=yes", array( "login", "logout", "register", "forgot_password", "change_password" ) ); ?> <p><a href="<?= $logout; ?>">Выйти</a></p> <?php require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php"); ?>
Системный компонент system.auth.form
Этот компонент предназначен для размещения формы авторизации в любом месте шаблона сайта: в шапке сайта, в левой или правой колонке. Чтобы пользователю не надо было переходить на страницу авторизации, а он мог авторизоваться на любой странице сайта. Пример вызова компонента
$APPLICATION->IncludeComponent( "bitrix:system.auth.form", "", array( "FORGOT_PASSWORD_URL" => "/auth/", // Страница забытого пароля "PROFILE_URL" => "/auth/profile.php", // Страница профиля "REGISTER_URL" => "/auth/", // Страница регистрации "SHOW_ERRORS" => "Y", // Показывать ошибки ) );
Я размещу вызов компонента в шаблоне главной страницы, в правой колонке, после формы поиска:
Теперь скопируем шаблон компонента и оформим под наш дизайн:
- откуда:
bitrix/components/bitrix/system.auth.form/templates/.default
- куда:
local/templates/.default/components/bitrix/system.auth.form/.default
После внесения изменений шаблон имеет вид:
<?php /* * Файл local/templates/.default/components/bitrix/system.auth.form/.default/template.php */ if (!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED!==true) die(); CJSCore::Init(); ?> <div> <h4><?= GetMessage('SYS_AUTH_FORM_TITLE'); /* заголовок формы */ ?></h4> <?php // сообщения об ошибках при заполнении формы if ($arResult['SHOW_ERRORS'] == 'Y' && $arResult['ERROR']) { ShowMessage($arResult['ERROR_MESSAGE']); } ?> <?php if ($arResult["FORM_TYPE"] == "login"): /* пользователь не авторизован, показываем форму авторизации */ ?> <form name="system_auth_form<?= $arResult["RND"]; ?>" method="post" target="_top" action="<?= $arResult["AUTH_URL"]; ?>"> <?php if ($arResult["BACKURL"] <> ''): ?> <input type="hidden" name="backurl" value="<?= $arResult["BACKURL"]; ?>" /> <?php endif; ?> <?php foreach ($arResult["POST"] as $key => $value): /* передача полученных POST-параметров */ ?> <input type="hidden" name="<?= $key; ?>" value="<?= $value; ?>" /> <?php endforeach; ?> <input type="hidden" name="AUTH_FORM" value="Y" /> <input type="hidden" name="TYPE" value="AUTH" /> <div> <span> <?= GetMessage('SYS_AUTH_FORM_LOGIN'); /* поле логин */ ?> <i>*</i> <!-- поле обязательно для заполнения --> </span> <span> <input type="text" name="USER_LOGIN" maxlength="50" value="" /> </span> </div> <script> BX.ready(function() { var loginCookie = BX.getCookie("<?= CUtil::JSEscape($arResult["~LOGIN_COOKIE_NAME"]); ?>"); if (loginCookie) { var form = document.forms["system_auth_form<?= $arResult["RND"]; ?>"]; var loginInput = form.elements["USER_LOGIN"]; loginInput.value = loginCookie; } }); </script> <div> <span> <?= GetMessage('SYS_AUTH_FORM_PASSWORD'); /* поле пароль */ ?> <i>*</i> <!-- поле обязательно для заполнения --> </span> <span> <input type="password" name="USER_PASSWORD" maxlength="50" autocomplete="off" /> </span> </div> <?php if ($arResult["SECURE_AUTH"]): /* безопасная авторизация (зашифрованная передача пароля пользователя) */ ?> <!-- код удален --> <?php endif?> <?php if ($arResult["CAPTCHA_CODE"]): /* если используется CAPTCHA */ ?> <div> <h5><?php echo GetMessage('SYS_AUTH_FORM_CAPTCHA_TITLE'); /* Защита от роботов */ ?></h5> <input type="hidden" name="captcha_sid" value="<?= $arResult["CAPTCHA_CODE"]; ?>" /> <img src="/bitrix/tools/captcha.php?captcha_sid=<?= $arResult["CAPTCHA_CODE"]; ?>" alt="CAPTCHA" /> <span> <?= GetMessage('SYS_AUTH_FORM_CAPTCHA_TEXT'); /* введите код с картинки */ ?> <i>*</i> <!-- поле обязательно для заполнения --> </span> <span> <input type="text" name="captcha_word" maxlength="50" value="" /> </span> </div> <?php endif; ?> <?php if ($arResult["STORE_PASSWORD"] == "Y"): /* checkbox «Запомнить меня» */ ?> <div> <input type="checkbox" name="USER_REMEMBER" value="Y" /> <label for="USER_REMEMBER_frm"><?= GetMessage('SYS_AUTH_FORM_REMEMBER'); ?></label> </div> <?php endif; ?> <div> <input type="submit" name="Login" value="<?= GetMessage('SYS_AUTH_FORM_SUBMIT_LOGIN'); /* кнопка отправки формы */ ?>" /> </div> </form> <?php if ($arResult["NEW_USER_REGISTRATION"] == "Y"): /* ссылка на страницу регистрации */ ?> <p> <a href="<?= $arResult["AUTH_REGISTER_URL"]; ?>" rel="nofollow"> <?= GetMessage('SYS_AUTH_FORM_REG_USER'); ?> </a> </p> <?php endif?> <p> <a href="<?= $arResult["AUTH_FORGOT_PASSWORD_URL"]; ?>" rel="nofollow"> <?= GetMessage('SYS_AUTH_FORM_FORGOT'); /* ссылка на страницу восстановления пароля */ ?> </a> </p> <?php else: /* пользователь авторизован, показываем имя и логин пользователя, ссылку на профиль и кнопку выхода */ ?> <p><?= $arResult["USER_NAME"]; /* имя пользователя */ ?></p> <p><?= $arResult["USER_LOGIN"]; /* логин пользователя */ ?></p> <p> <a href="<?= $arResult["PROFILE_URL"]; ?>"> <?= GetMessage('SYS_AUTH_FORM_PROFILE'); /* ссылка на профиль */ ?> </a> </p> <form action="<?= $arResult["AUTH_URL"]; ?>"> <?php foreach ($arResult["GET"] as $key => $value): /* передача полученных GET-параметров */ ?> <input type="hidden" name="<?= $key; ?>" value="<?= $value; ?>" /> <?php endforeach; ?> <input type="hidden" name="logout" value="yes" /> <div> <input type="submit" name="logout_butt" value="<?= GetMessage('SYS_AUTH_FORM_SUBMIT_LOGOUT'); /* кнопка отправки формы */ ?>" /> </div> </form> <?php endif; ?> </div>
<?php /* * Файл local/templates/.default/components/bitrix/system.auth.form/.default/lang/ru/template.php */ $MESS['SYS_AUTH_FORM_TITLE'] = 'Личный кабинет'; // авторизация теперь по e-mail $MESS['SYS_AUTH_FORM_LOGIN'] = 'E-mail'; $MESS['SYS_AUTH_FORM_PASSWORD'] = 'Пароль'; $MESS['SYS_AUTH_FORM_REMEMBER'] = 'Запомнить меня'; $MESS['SYS_AUTH_FORM_CAPTCHA_TITLE'] = 'Защита от роботов'; $MESS['SYS_AUTH_FORM_CAPTCHA_TEXT'] = 'Введите символы с картинки'; $MESS['SYS_AUTH_FORM_SUBMIT_LOGIN'] = 'Войти'; $MESS['SYS_AUTH_FORM_SUBMIT_LOGOUT'] = 'Выйти'; $MESS['SYS_AUTH_FORM_REG_USER'] = 'Зарегистрироваться'; $MESS['SYS_AUTH_FORM_FORGOT'] = 'Забыли пароль?'; $MESS['SYS_AUTH_FORM_PROFILE'] = 'Мой профиль';
/* * Файл local/templates/.default/components/bitrix/system.auth.form/.default/style.css */ .system-auth-form { margin-top: 15px; } .system-auth-form > p { margin: 5px 0; } .system-auth-form > h4 { margin-bottom: 10px; } .system-auth-form > p > a { text-decoration: underline; } .system-auth-form > form > div { margin-bottom: 5px; } .system-auth-form > form > div > span { display: block; } .system-auth-form > form > div > span:first-child { margin-bottom: 2px; } .system-auth-form > form > div > span > input[type="text"], .system-auth-form > form > div > span > input[type="password"] { width: 100%; padding: 3px; border: 1px solid #ccc; } .system-auth-form > form > div.captcha { border: 1px solid #ccc; padding: 15px 10px 10px 10px; position: relative; margin-top: 15px; } .system-auth-form > form > div.captcha > h5 { position: absolute; top: -10px; font-weight: normal; font-size: 16px; background: #eee; padding: 0 10px; color: #999; } .system-auth-form > form > div.captcha > span:first-of-type { margin-top: 10px; } .system-auth-form > form > div.remember label { font-weight: normal; cursor: pointer; border-bottom: 1px dashed #333; position: relative; top: -3px; margin-left: 5px; } .system-auth-form > form > div.submit > input[type="submit"] { width: 50%; padding: 5px; background: #333; color: #fff; border: none; margin-top: 10px; } .system-auth-form i { font-style: normal; font-weight: bold; color: #f00; }
Поиск:
CMS • Web-разработка • Авторизация • Битрикс • Компонент • Регистрация • Форма • Шаблон компонента • Шаблон сайта
Умная IDE для PHP-разработчиков от JetBrains
Поддержка основных фреймворков
PhpStorm идеально подходит для работы с Symfony, Drupal, WordPress, Zend Framework, Laravel, Magento, Joomla!, CakePHP, Yii и другими фреймворками.
Все, что нужно для PHP
PhpStorm глубоко анализирует структуру кода и действительно понимает ваш код, поддерживая все возможности языка PHP как в новых, так и в legacy-проектах. Редактор поддерживает автодополнение кода и рефакторинги, предотвращает ошибки на лету.
Поддержка фронтенд-технологий
В PhpStorm вы можете работать с самыми современными технологиями: HTML 5, CSS, Sass, Less, Stylus, CoffeeScript, TypeScript, Emmet и JavaScript. При этом будут доступны рефакторинг, отладка и юнит-тестирование. Благодаря функции Live Edit все изменения можно тут же посмотреть в браузере.
Встроенные инструменты для разработчиков
Однообразные задачи удобно выполнять прямо в PhpStorm. IDE интегрирована с системами контроля версий, поддерживает удаленное развертывание, базы данных и SQL, инструменты командной строки, Docker, Composer, REST-клиент и многие другие инструменты.
PhpStorm = WebStorm + PHP + БД/SQL
PhpStorm включает в себя всю функциональность WebStorm, а также полноценную поддержку PHP, баз данных и SQL.
Помощь при написании кода
PhpStorm позаботится о качестве вашего кода с помощью сотен инспекций, которые проверяют код на лету и анализируют весь проект целиком. Поддержка PHPDoc, code (re)arranger, инструмент форматирования, быстрые исправления и другие возможности помогают разработчикам писать аккуратный код, который легко поддерживать.
Удобная навигация
Чувствуйте себя как дома в своей кодовой базе благодаря эффективным функциям навигации. IDE понимает, куда вы хотите попасть, и мгновенно доставит туда.
Быстрые и безопасные рефакторинги
PhpStorm безопасно преобразует ваш код с помощью надежных рефакторингов переименования, перемещения и удаления, извлечения методов, введения переменных, перемещения элементов вверх/вниз, изменения сигнатуры и других. Рефакторинги, учитывающие особенности конкретного языка помогут применить изменения по всему проекту за пару кликов. При этом любое преобразование можно отменить.
Легкая отладка и тестирование
Графический отладчик PhpStorm не требует дополнительной настройки. Он очень наглядно визуализирует, что происходит в вашем приложении на каждом этапе отладки. Отладчик работает с Xdebug и Zend Debugger и может использоваться как локально, так и удаленно. IDE также поддерживает модульное тестирование с PHPUnit, BDD с Behat и интегрируется с профилировщиком.
Веб-форма авторизации/регистрации/восстановления пароля для веб-клиента 1С с помощью HTML/CSS/PHP/HTTP-сервисов 1С
Для простоты разворачивания демонстрационной базы будем использовать Apache, великий и могучий. Он прост и понятен в настройке, для наших целей, это его главное преимущество перед всевозможными проблемами IIS.
Скачиваем Apache 2.4 для Windows. Той разрядности которой у вас 1С. И скачиваем PHP любой версии 5.5 и старше, не знаю точно какие есть ограничения в этом плане, но лучше не рискуйте. Возможно в каких-то версиях не будет модуля для apache2_4 в комплекте.
После скачивания всего этого добра распаковываем все архивы куда ни будь поближе к корню диска. чтобы долго не писать пути в консоли.
В архиве с Apache можно найти файл Readme. В котором описан весь незатейливый процесс установки веб-сервера. Основное что нам нужно сделать:
1. Заходим в папку с апачем, например C:Apache24conf и находим файл httpd.conf
2. В нем нам нужно изменить строку Define SRVROOT «c:/Apache24» если путь к корневой папке Апача отличается от вышеуказанного, и поменять на правильный. Обратите внимание на направление слешей.
3.Далее, определите папку в которой будут лежать ваши веб-публикации по умолчанию она c:/Apache24/htdocs
4. Далее нам необходимо подключить php к нашему веб-серверу. Тут все достаточно просто в том же конфигурационном файле мы найдем конец блока инструкции «LoadModule» и после него укажем такие строки
AddHandler application/x-httpd-php .php
AddType application/x-httpd-php .php .html
PHPIniDir «C:/php/php5.6»
LoadModule php5_module «C:/php/php5.6/php5apache2_4.dll»
Пути естественно указываем те, где распакован php. Обращаем внимание на слеши. В зависимости от версии строки подключения могут меняться, проверяйте способ подключения в интернете. Немного поясню. Две первые строки это назначение обработчика расширений файлов сайта а две последние путь к файлам модуля.
5. Далее, все в том же конфигурационном файле находим блок
<IfModule dir_module>
DirectoryIndex index.html
</IfModule>
И добавляем сюда новый тип индексного файла. index.php, чтобы стало вот так
<IfModule dir_module>
DirectoryIndex index.html index.php
</IfModule>
Этим самым мы укажем нашему серверу, что главный файл сайта, точка входа, может называться и index.php.
На этом редактирование конфигурации apache руками заканчивается, сохраняем файл.
6. Переходим в директорию установки php и находим там файл «php.ini-development», копируем его и переименовываем в php.ini. Это будет наш конфигурационный файл php, настроек в нем достаточно чтобы все что нам нужно взлетело потому приступаем к самому интересному
7. Для того чтобы у нас появилась возможность публиковать веб-клиент из 1С и открывать сайты на нашем локалхосте нам нужно установить службу веб-сервера Apache, это мы сделаем перейдя в консоль под админскими правами. Перейдем в директорию Apachein и запустим приложение httpd.exe с ключами -k install
для ленивых:
cd C:Apache24in
httpd.exe -k install
После этого по экрану побегут строки, для нас главное увидеть, что везде написано Success и не написано Error. Как правило установка сервиса проходит успешно, и ошибки в основном происходят в момент ее тестового запуска. Если увидели ошибки, то как правило все они хорошо гуглятся и быстро решаются.
После того как установка прошла успешно желательно зайти в папку Apachein в проводнике и запустить ApacheMonitor. Для того чтобы в трее появился интерфейс быстрого управления службой Apache.
Заходим в браузере по адресу http://localhost если написано «It work’s» значит все в порядке.
Для того чтобы потом удалить Apache нужно тоже зайти в консоль, выполнить то же самое. но с ключом -k uninstall
8. После установки Apache нужно установить модуль расширения web-сервера 1С. Для этого зайдите в список установленных приложений, выберите 1С, и нажмите «Изменить», после в диалоге установки выберите в списке прочего «Модуль расширения web-сервиса»
9. Установка окружения завершена. Остался только сам процесс публикации, который выполняется в пару кликов. Описывать не буду, надеюсь рядовой одинесник без труда с этим разберется. на этом все.
(PDF) АВТОРИЗАЦИЯ НА WEB-СЕРВЕРЕ ARDUINO ДЛЯ УПРАВЛЕНИЯ ЧЕРЕЗ TCP/IP СЕТЬ
УДК 004.522
А.А.МЯСИЩЕВ
Хмельницкий национальный университет
АВТОРИЗАЦИЯ НА WEB-СЕРВЕРЕ ARDUINO ДЛЯ УПРАВЛЕНИЯ ЧЕРЕЗ TCP/IP
СЕТЬ
Рассматривается возможность построения web-сервера для управления оборудованием и получением данных с
различных датчиков через сеть Интернет. Указывается на то, что для удаленного управления необходимо проводить
авторизацию. В противном случае оборудование будет не защищено от несанкционированного доступа пользователей
сети Интернет. Отмечается, что управляющие web-сервера создаются на базе микроконтроллеров, которые имеют
малые ресурсы и не в состоянии работать с протоколами HTTPS, SSL, TLS. Поэтому эти сервера являются уязвимыми со
стороны сетевых атак. В работе рассмотрено создание web-сервера на Arduino, который использует авторизацию на
основе GET и POST запросов, а также модернизированную HTTP basic authentication. Модернизация состоит в том, что
для авторизации используется пароль из списка паролей, который выбирается пользователем на основании ключа,
пересылаемого сервером. При каждом новом входе на сервер предыдущий пароль становиться недействительным.
Представлен практический пример web-сервера на Arduino Mega, на котором установлены три светодиода,
имитирующие включение-выключение 3-х силовых источников питания (например, электра — розеток), датчик
температуры DS18B20, датчик влажности и температуры DHT 11 и барометрический датчик BMP280. Сервер
тестировался с тремя контроллерами Ethernet: enc28j60, W5100 и w5500. Для этого использовались три библиотеки:
UIPEthetnet, Ethernet и Ethernet2, которые показали одинаковые результаты работы. Установлено, что авторизация на
сервере Arduino с использованием метода запроса GET является нецелесообразной, так как при использовании форм ввода
с полями для пароля коды открыто высвечиваются в адресной строке. Авторизация с использованием метода POST
скрывает передаваемые коды. Но коды передаются по сети в открытой форме, поэтому их можно перехватить с
помощью программ снифферов. Использование протоколов HTTPS, SSL, TLS позволяет сделать такую авторизацию
безопасной. Программа, реализующая web-сервер Arduino, составлена в среде разработки Arduino IDE ver. 1.8.6.
Ключевые слова: Arduino, Ethernet Shield Arduino, ENC28J60, W5100, W5500, протокол HTTPS, SSL, TLS, GET и
POST запросы, base64-encoded, basic authentication, web-server, микроконтроллер.
Постановка задачи
С появлением технологий удаленного управления оборудованием через сеть Интернет актуальной
стала задача авторизации на управляющих серверах. Часто такими серверами являются web-сервера,
построенные на основе микроконтроллеров среди которых наиболее распространены находящиеся в составе
контроллеров Arduino. Контроллеры Arduino наиболее доступные, дешевые, имеют большое количество плат
расширения (shield), бесплатную программную поддержку с большим количеством библиотек. Однако в
отличие от современных компьютеров Arduino имеют скромные вычислительные ресурсы в связи с чем не в
состоянии поддерживать полноценные сетевые протоколы, не говоря уже о программном обеспечении
обеспечивающих шифрование данных в пакетах. Поэтому команды по управлению оборудованием
посылаются с браузера клиента на web-сервер Arduino без пароля идентификации. Таким образом удаленно
может управлять устройствами любой пользователь, которому известен адрес сервера. Это может нанести вред
правильному функционированию систем, которые могут располагаться в офисе, предприятии, учреждении,
жилом доме.
Для надежной авторизации на серверах с популярными сетевыми операционными системами (Linux,
FreeBSD, OpenBSD, Windows Server, …) используется протокол https, данные которого «упаковываются» в
криптографический протокол SSL или TLS, обеспечивая защиту этих данных. Работа этих протоколов
выполняется с помощью специального программного обеспечения, которое не может быть установлено на
сервера Arduino вследствие, в частности, малой памяти микроконтроллеров. Также и стек коммуникационных
протоколов Ethernet Shield Arduino использует сокращенные, урезанные версии протоколов TCP/IP. Несмотря
на указанные проблемы, рассмотрим возможность упрощенной удаленной авторизации на сервере Arduino. Для
Требования аутентификации и авторизации API
Edit me
Прежде чем пользователи смогут отправлять запросы с помощью API, им обычно необходимо зарегистрироваться для получения ключа API или изучить другие способы аутентификации запросов. API-интерфейсы различаются по способу аутентификации пользователей. Некоторые API требуют включения ключа API в заголовок запроса, в то время как другие API требуют тщательной защиты из-за необходимости защиты конфиденциальных данных, подтверждения личности и обеспечения того, чтобы запросы не были подделаны. В этом разделе мы изучим аутентификацию и авторизацию, а также то, на чем следует сосредоточиться в документации.
Определяем термины
Во-первых, давайте определимся с некоторыми ключевыми терминами:
- Аутентификация: подтверждение правильности личности
- Авторизация: разрешение определенного действия
API может аутентифицировать, но не разрешит делать определенный запрос.
аутентификация и авторизация
Последствия нехватки безопасности API
Почему даже API-интерфейсы нуждаются в аутентификации? Для API, которые предназначены только для чтения, иногда пользователям не нужны ключи. Но большинство коммерческих API требуют авторизации в виде ключей API или других методов. Если нет никакой защиты API, пользователи могут совершать неограниченное количество запросов API без какой-либо регистрации. Разрешение неограниченных запросов усложнит модель дохода для вашего API.
Вдобавок, без аутентификации не было бы простого способа связать запросы с конкретными данными пользователя. И не было бы способа защиты от запросов от злонамеренных пользователей, которые могут удалить данные другого пользователя (например, путем удаления запросов DELETE для учетной записи другого пользователя).
Наконец, не получится отследить, кто использует API или какие конечные точки используются чаще всего. Очевидно, что разработчики API должны подумать о способах аутентификации и авторизации запросов к своим API.
В целом, аутентификация и авторизация с помощью API служат следующим целям:
- аутентификация запросов в API только для зарегистрированных пользователей;
- отслеживание, кто делает запросы;
- отслеживание использования API;
- блокировка или замедление пользователя, превышающего ограничения скорости;
- применение разных уровней разрешений для разных пользователей.
Разные виды авторизации
Существует несколько методов авторизации. Ниже рассмотрим несколько вариантов авторизации, которые встречаются чаще всего:
API ключ
Большинство API требуют авторизации ключом API, чтобы использовать API. Ключ API представляет собой длинную строку, которую обычно включают либо в URL запроса, либо в заголовок запроса. Ключ API в основном служит способом идентификации лица, выполняющего запрос API (аутентифицируя для использования API). Ключ API также может быть связан с конкретным приложением, которое регистрируется.
Ключи APK используют строку в свойстве заголовка для авторизации запросов
API могут дать как открытый, так и закрытый ключ. Открытый ключ обычно включается в запрос, в то время как закрытый ключ рассматривается скорее как пароль и используется только при обмене данными между серверами. На некоторых сайтах документации API, при заходе на сайт, ключ API автоматически заполняется в примере кода и API Explorer.
Basic Auth
Другой тип авторизации называется Basic Auth. С помощью этого метода отправитель помещает пару имя пользователя:пароль
в заголовок запроса. Имя пользователя и пароль кодируются с помощью Base64, который представляет собой метод кодирования, который преобразует имя пользователя и пароль в набор из 64 символов для обеспечения безопасной передачи. Вот пример Basic Auth в заголовке запроса:
Authorization: Basic bG9sOnNlY3VyZQ==
API, использующие Basic Auth, также будут использовать HTTPS, что означает, что содержимое сообщения будет зашифровано в транспортном протоколе HTTP. (Без HTTPS людям было бы легко расшифровать зашифрованные данные)
Когда сервер API получает сообщение, он дешифрует сообщение и проверяет заголовок. После декодирования строки и анализа имени пользователя и пароля он решает, принять или отклонить запрос.
В Postman можно настроить базовую авторизацию, щелкнув вкладку Authorization, выбрав Basic Auth в раскрывающемся списке и введя имя пользователя и пароль справа от двоеточия в каждой строке. На вкладке Заголовки будет показана пара ключ-значение, выглядящая следующим образом:
Authorization: Basic RnJlZDpteXBhc3N3b3Jk
Postman обрабатывает кодировку Base64 автоматически, при вводе имени пользователя и пароля с выбранным Basic Auth.
HMAC (код авторизации сообщений на основе хэша)
HMAC расшифровывается как Hash-based message authorization code — код авторизации сообщений на основе хэша и является более строгим типом аутентификации, более распространенным в финансовых API. В HMAC только отправитель, и получатель знают секретный ключ, который больше неизвестен никому. Отправитель создает сообщение на основе некоторых системных свойств (например, отметка времени запроса плюс идентификатор учетной записи).
Затем сообщение кодируется секретным ключом и проходит через алгоритм безопасного хеширования (SHA — secure hashing algorithm). (Хеш — это зашифрованная строка на основе алгоритма.) Результирующее значение, называемое сигнатурой, помещается в заголовок запроса.
Сервер API (получатель), получая запрос, принимает те же системные свойства (отметка времени запроса плюс идентификатор учетной записи) и использует секретный ключ (который известен только запрашивающей стороне и серверу API) и SHA для генерации одной и той же строки. Если строка соответствует подписи в заголовке запроса, запрос принимается. Если строки не совпадают, запрос отклоняется.
Вот диаграмма, отображающая процесс авторизации HMAC:
Важным моментом является то, что секретный ключ (критический для восстановления хэша) известен только отправителю и получателю. Секретный ключ не включается в запрос. Безопасность HMAC используется, когда нужно убедиться, что запрос является подлинным и не может быть подделан.
OAuth 2.0
Одним из популярных методов аутентификации и авторизации пользователей является OAuth 2.0. Такой подход опирается на сервер аутентификации для связи с сервером API для предоставления доступа. Понять, что используется метод OAuth 2.0, можно когда предлагается войти в систему при помощи сторонних сервисов, как Twitter, Google или Facebook.
окно входа в систему, использующую Oauth3.0
Существует несколько разновидностей OAuth, а именно «one-legged OAuth» и «three-legged OAuth». One-legged OAuth используется, когда нет конфиденциальных данных для защиты. Например, в том случае, если просто получаем общую информацию только для чтения.
Three-legged OAuth используется, когда нужно защитить конфиденциальные данные. В этом сценарии взаимодействуют три группы:
- сервер аутентификации;
- сервер API;
- пользователь или приложение.
Вот базовый процесс Oauth3.0:
Сначала пользовательское приложение отправляет ключ приложения и секретные данные на страницу входа в систему на сервере аутентификации. Если аутентификация пройдена, сервер аутентификации возвращает пользователю токен доступа (авторизации).
Токен доступа (авторизации) упакован в параметр запроса в перенаправлении ответа (302) на запрос. Перенаправление направляет запрос пользователя обратно на сервер ресурсов (сервер API).
Затем пользователь отправляет запрос на сервер ресурсов (сервер API). Токен доступа (авторизации) добавляется в заголовок запроса API со словом Bearer
, за которым следует строка токена. Сервер API проверяет токен доступа (авторизации) в запросе пользователя и решает, аутентифицировать ли пользователя.
Токены доступа (авторизации) не только обеспечивают аутентификацию для запрашивающей стороны, но и определяют права пользователя на использование API. Кроме того, токены доступа (авторизации) обычно истекают через некоторое время и требуют от пользователя повторного входа в систему. Для получения дополнительной информации об OAuth 2.0 можно посмотреть ресурсы:
Что документируется в разделе аутентификации
В документации API не нужно подробно объяснять внешним пользователям, как работает аутентификация. Отсутствие объяснений внутренних процессов аутентификации, является лучшей практикой, поскольку хакерам будет сложнее злоупотреблять API.
Тем не менее нужно объяснить необходимую информацию:
- как получить API ключ;
- как пройти аутентификацию запроса;
- сообщения об ошибках, связанных с неверной аутентификацией;
- чувствительность информации аутентификации;
- период действия токена доступа (авторизации).
Если есть открытый и закрытый ключи, нужно объяснить, где следует использовать каждый ключ, и отметить, что закрытые ключи не должны использоваться совместно. Если разные уровни лицензий предоставляют разный доступ к вызовам API, эти уровни лицензирования должны быть явно указаны в разделе авторизации или в другом месте.
Поскольку раздел API ключей важен, и нужен разработчикам до того, как они начнут использовать API, этот раздел должен быть в начале руководства.
Образцы разделов авторизации
Ниже приведены несколько примеров разделов авторизации в документации API.
SendGrid
API ключ SendGrid
SendGrid предлагает подробное объяснение ключей API, начиная с основ, поясняя: «Что такое ключи API?». Контекстно раздел ключей API появляется вместе с другими разделами по управлению учетными записями.
авторизация Twitter
В Twitter подробный пример оправдан и предоставлен, поскольку требования к авторизации OAuth 2.0 немного сложнее.
Amazon Web Services
авторизация Amazon
Amazon использует HMAC. Процесс достаточно сложный, чтобы включить полноценную диаграмму, показать шаги, которые должны выполнить пользователи.
Dropbox
Авторизация в Dropbox
Как и Twitter, Dropbox также использует OAuth 2.0. Их документация включает в себя не одну, а две диаграммы и подробное объяснение процесса.
👨💻 Практическое занятие: Авторизация
В своем найденном опен-сорс проекте найдем информацию об авторизации для запросов к API. Ответьте на следующие вопросы:
- Какого рода авторизация требуется для отправки запросов к API?
- Существуют ли разные уровни доступа в рамках авторизации (например, платные и бесплатные), которые определяют, сколько запросов можно сделать или какие типы информации можно получить?
- Можно ли вы получить ключ API или какой-либо другой метод авторизации, необходимый для выполнения тестовых вызовов API?
- Как информация об авторизации интегрируется в раздел “Начало работы”?
🔙
Go next ➡
Как написать собственный аутентификатор (Symfony Docs)
Symfony поставляется с множеством аутентификаторов и
сторонние пакеты также реализуют более сложные случаи, такие как JWT и oAuth.
2.0. Однако иногда вам нужно реализовать настраиваемую аутентификацию.
механизм, который еще не существует, или вам нужно его настроить. В таком
случаях вы должны создать и использовать свой собственный аутентификатор.
Аутентификаторы должны реализовывать
AuthenticatorInterface.
Вы также можете продлить
АннотацияAuthenticator,
который имеет реализацию по умолчанию для createAuthenticatedToken ()
метод, который подходит для большинства случаев использования:
Аутентификатор можно включить с помощью параметра custom_authenticators
:
5.2
Начиная с Symfony 5.2, пользовательский аутентификатор автоматически
зарегистрирован как точка входа, если он реализует AuthenticationEntryPointInterface
.
До версии 5.2 вам приходилось настраивать точку входа отдельно с помощью
entry_point
опция. Прочтите раздел «Точка входа: помощь пользователям в запуске аутентификации», чтобы узнать больше.
Информация.
Метод Authenticate ()
является наиболее важным методом
аутентификатор. Его задача — извлекать учетные данные (например,грамм. имя пользователя &
пароль или токены API) из объекта Request
и преобразовать их
в безопасность
Заграничный пасспорт.
См. Ниже, как написать собственный аутентификатор, чтобы подробно изучить
процесс аутентификации.
После завершения процесса аутентификации пользователь либо аутентифицируется.
или что-то было не так (например, неверный пароль). Аутентификатор
может определить, что происходит в этих случаях:
-
onAuthenticationSuccess (запрос $ request, TokenInterface $ token, строка $ firewallName):? Ответ
Если пользователь аутентифицирован, этот метод вызывается с
аутентифицированный$ токен
.Этот метод может вернуть ответ (например,
перенаправить пользователя на домашнюю страницу).Если возвращается
null
, запрос продолжается как обычно (т. Е.
вызывается контроллер, соответствующий маршруту входа в систему). Это полезно для API
маршруты, где каждый маршрут защищен заголовком ключа API.-
onAuthenticationFailure (запрос $ request, исключение AuthenticationException $):? Ответ
Если во время аутентификации возникает исключение
AuthenticationException
,
происходит сбой процесса, и вызывается этот метод.Этот метод может вернуть
ответ (например, чтобы вернуть ответ 401 Неавторизованный в маршрутах API).Если возвращается
null
, запрос продолжается как обычно. Это
полезно, например, для формы входа в систему, где снова запускается контроллер входа в систему
с ошибками входа в систему.Внимание : Никогда не используйте
$ exception-> getMessage ()
дляAuthenticationException
экземпляры. Это сообщение может содержать конфиденциальную информацию, которую вы
не хочу разоблачать публично.Вместо этого используйте$ exception-> getMessageKey ()
и$ exception-> getMessageData ()
, как показано в полном примере
выше. Используйте CustomUserMessageAuthenticationException
если вы хотите установить собственные сообщения об ошибках.
5.2
UserBadge
был представлен в Symfony 5.2. До версии 5.2 пользователь
Экземпляр был предоставлен прямо в паспорт.
Паспорт — это объект, содержащий пользователя, который будет аутентифицирован как
а также другую информацию, например, нужно ли проверять пароль
или если должна быть включена функция «запомнить меня».
По умолчанию
Заграничный пасспорт
требуется пользователь и какие-то «учетные данные» (например, пароль).
Используйте
UserBadge
прикрепить пользователя к паспорту. Для UserBadge
требуется пользователь
идентификатор (например, имя пользователя или адрес электронной почты), который используется для загрузки пользователя
с использованием провайдера пользователя:
Примечание
При желании вы можете передать пользовательский загрузчик в качестве второго аргумента в
Значок пользователя
. Этот вызываемый объект получает $ userIdentifier
.
и должен возвращать объект UserInterface
(в противном случае
Выдается исключение UserNotFoundException
):
По умолчанию поддерживаются следующие классы учетных данных:
- Пароль и учетные данные
Для этого требуется открытый текст
$ пароль
, который проверяется с помощью
кодировщик паролей, настроенный для пользователя:- CustomCredentials
Позволяет настраивать закрытие для проверки учетных данных:
Если вам не нужно проверять учетные данные (например,грамм. при использовании API
токены), вы можете использовать
SelfValidatingPassport.
Для этого класса требуется только объект UserBadge
и, при необходимости, значки паспорта.
Паспорт
также дополнительно позволяет добавить бейджей безопасности .
Бейджи прикрепляют к паспорту дополнительные данные (для повышения безопасности). По умолчанию,
поддерживаются следующие значки:
- RememberMeBadge
- Когда этот значок добавляется к паспорту, аутентификатор указывает
помни меня поддерживается.Используется ли на самом деле «помни меня», зависит
на специальной конфигурацииRemember_me
. Читать
Как добавить функцию входа в систему «Запомнить меня» для получения дополнительной информации. - Пароль Обновить Значок
- Это используется для автоматического обновления пароля до нового хэша при
успешный вход (при необходимости). Для этого значка требуется пароль в виде открытого текста и
средство обновления паролей (например, хранилище пользователей).См. Хеширование и проверка паролей. - CsrfTokenBadge
- Автоматически проверяет токены CSRF для этого аутентификатора во время
аутентификация. Конструктору требуется идентификатор токена (уникальный для каждой формы)
и токен CSRF (уникальный для каждого запроса). См. Как реализовать защиту от CSRF. - PreAuthenticatedUserBadge
- Указывает, что этот пользователь прошел предварительную аутентификацию (т.е. до того, как Symfony был
инициирован). Это пропускает
предварительная проверка подлинности пользователя.
5.2
Начиная с версии 5.2, PasswordUpgradeBadge
автоматически добавляется в
паспорт, если в паспорте PasswordCredentials
.
Например, если вы хотите добавить CSRF в свой собственный аутентификатор, вы
инициализирует паспорт следующим образом:
Кончик
Помимо бейджей, паспорта могут определять атрибуты, что позволяет
Authenticate ()
метод для хранения произвольной информации в
Паспорт для доступа к нему из других методов аутентификации (например,грамм.
createAuthenticatedToken ()
):
5.2
Атрибуты паспорта были введены в Symfony 5.2.
Ограничение доступа с помощью базовой аутентификации HTTP
Управление доступом с использованием базовой проверки подлинности HTTP и, возможно, в сочетании с контролем доступа на основе IP-адреса.
Введение
Вы можете ограничить доступ к своему веб-сайту или его частям, реализовав аутентификацию по имени пользователя и паролю.Имена пользователей и пароли берутся из файла, созданного и заполняемого инструментом создания файла паролей, например, apache2-utils
.
Базовая аутентификация
HTTP также может быть объединена с другими методами ограничения доступа, например, с ограничением доступа по IP-адресу или географическому положению.
Предварительные требования
- NGINX Plus или NGINX с открытым исходным кодом
- , например
apache2-utils
(Debian, Ubuntu) илиhttpd-tools
(RHEL / CentOS / Oracle Linux).
Утилита для создания файла паролей
Создание файла паролей
Чтобы создать пары имя пользователя и пароль, используйте утилиту для создания файла паролей, например, apache2-utils
или httpd-tools
Убедитесь, что установлено
apache2-utils
(Debian, Ubuntu) илиhttpd-tools
(RHEL / CentOS / Oracle Linux).Создайте файл паролей и первого пользователя. Запустите утилиту
htpasswd
с флагом-c
(для создания нового файла), с указанием пути к файлу в качестве первого аргумента и имени пользователя в качестве второго аргумента:$ sudo htpasswd -c / etc / apache2 /.htpasswd user1
Нажмите Enter и введите пароль для user1 по запросу.
Создайте дополнительные пары пользователь-пароль. Опустите флаг
-c
, потому что файл уже существует:$ sudo htpasswd /etc/apache2/.htpasswd user2
Вы можете подтвердить, что файл содержит парные имена пользователей и зашифрованные пароли:
$ cat /etc/apache2/.htpasswd user1: $ apr1 $ / woC1jnP $ KAh0SsVn5qeSMjTtn0E9Q0 user2: $ apr1 $ QdR8fNLT $ vbCEEzDj7LyqCMyNpSoBh / user3: $ apr1 $ Mr5A0e.U $ 0j39Hp5FfxRkneklXaMrr /
Настройка NGINX и NGINX Plus для базовой аутентификации HTTP
Внутри места, которое вы собираетесь защищать, укажите директиву auth_basic и дайте имя защищенной паролем области. Имя области будет показано в диалоговом окне имени пользователя / пароля при запросе учетных данных:
location / api { auth_basic «Администраторский кабинет»; # ... }
Укажите директиву auth_basic_user_file с путем к .htpasswd файл, содержащий пары пользователь / пароль:
location / api { auth_basic «Администраторский кабинет»; auth_basic_user_file /etc/apache2/.htpasswd; }
В качестве альтернативы вы можете ограничить доступ ко всему веб-сайту с помощью базовой аутентификации, но при этом сделать некоторые области веб-сайта общедоступными. В этом случае укажите параметр off
директивы auth_basic, отменяющий наследование с верхних уровней конфигурации:
сервер {
...
auth_basic «Администраторский кабинет»;
auth_basic_user_file conf / htpasswd;
location / public / {
auth_basic выкл;
}
}
Сочетание базовой аутентификации с ограничением доступа по IP-адресу
Базовую аутентификацию HTTP можно эффективно комбинировать с ограничением доступа по IP-адресу. Вы можете реализовать как минимум два сценария:
- пользователь должен быть аутентифицирован и иметь действующий IP-адрес
- пользователь должен быть аутентифицирован или иметь действующий IP-адрес
Разрешить или запретить доступ с определенных IP-адресов с помощью директив allow и deny:
location / api { #... отрицать 192.168.1.2; разрешить 192.168.1.1/24; разрешить 127.0.0.1; все отрицать; }
Доступ будет предоставлен только для сети
192.168.1.1/24
, за исключением адреса192.168.1.2
. Обратите внимание, что директивыallow
иdeny
будут применяться в том порядке, в котором они определены.Объедините ограничение по IP и HTTP-аутентификации с директивой подтверждения.
Если вы установите для директивы значениедля всех
, доступ предоставляется, если клиент удовлетворяет обоим условиям.Если вы установите для директивы значениелюбое
, доступ предоставляется, если клиент удовлетворяет хотя бы одному условию:location / api { # ... удовлетворить всех; отрицать 192.168.1.2; разрешить 192.168.1.1/24; разрешить 127.0.0.1; все отрицать; auth_basic «Администраторский кабинет»; auth_basic_user_file conf / htpasswd; }
Полный пример
В примере показано, как защитить область состояния с помощью простой аутентификации в сочетании с ограничением доступа по IP-адресу:
http {
server {
Слушай 192.168.1.23: 8080;
корень / usr / share / nginx / html;
location / api {
api;
удовлетворить всех;
отрицать 192.168.1.2;
разрешить 192.168.1.1/24;
разрешить 127.0.0.1;
все отрицать;
auth_basic «Администраторский кабинет»;
auth_basic_user_file /etc/apache2/.htpasswd;
}
}
}
При переходе на страницу статуса вам будет предложено войти в систему:
Если предоставленное имя и пароль не совпадают с файлом паролей, вы получите ошибку 401 (требуется авторизация)
.
Многофакторная аутентификация — Отдел информационных технологий
Вычислительная техника радикально изменилась за последние 30 лет. Мы делимся и потребляем больше
данных сегодня, чем в любой предыдущий момент истории. Также есть больше людей, пытающихся
чтобы зарабатывать на жизнь кражей этих данных. Пришло время начать способы аутентификации.
догнать современные потребности.Многофакторная аутентификация — ключевая часть этой головоломки.
Expand allЧто такое многофакторная аутентификация?
Многофакторная аутентификация (MFA), иногда называемая двухэтапной или двухфакторной
аутентификация — это слишком технический термин для обозначения очень простого решения. Считать
из него как «пароль плюс». Он основан на предположении, что только потому, что кто-то
знает ваш пароль, это не обязательно означает, что они те, за кого себя выдают.Это простой способ убедиться, что единственный, кто использует ваши учетные данные, — это вы. Это
также помогает предотвратить утечку данных.
MFA в настоящее время используется студентами, преподавателями и сотрудниками UofSC для таких сайтов, как my.sc.edu,
PeopleSoft и myaccount.sc.edu. Отдел информационных технологий будет превращаться
на MFA для некоторых приложений Office 365 для дополнительной безопасности.
Что нужно делать начинающим пользователям?
Для регистрации в Duo:
1. Установите приложение Duo Mobile на свой смартфон
2. Войдите на myaccount.sc.edu и выберите Обновить настройки учетной записи. Войдите в систему, используя свое сетевое имя пользователя и пароль,
ответьте на секретный вопрос, а затем выберите вкладку Многофакторность
3. Введите номер своего мобильного телефона, выберите мобильный, выберите свою платформу, затем нажмите
Разместить
4.Выберите Активировать рядом с номером своего мобильного телефона. Отобразится QR-код. (Ты
будет сканировать этот код на более позднем этапе.)
5. Откройте приложение Duo Mobile на своем смартфоне
6. В приложении нажмите + вверху экрана
7.Отсканируйте QR-код, отображаемый на вашем компьютере
Вы записаны! Студенты, преподаватели и сотрудники будут использовать Duo Mobile для веб-сайтов с
конфиденциальную информацию и для приложений Office 365, таких как Outlook для электронной почты.
Что делать, если я купил новый телефон?
Для регистрации нового телефона:
1.Войдите на myaccount.sc.edu и выберите UpdateAccount Settings. Войдите в систему, используя свое сетевое имя пользователя и пароль,
ответьте на контрольный вопрос, а затем выберите вкладку Многофакторность.
2. Нажмите кнопку «Удалить», чтобы удалить старый телефон.
3. Введите номер своего мобильного телефона, выберите мобильный, выберите платформу, затем нажмите
Отправить.
4. Нажмите кнопку «Активировать» под заголовком «Активировано?».
5.Откройте приложение Duo Mobile на своем смартфоне, нажмите и удерживайте DUO_PROTECTED University.
записи в Южной Каролине и выберите Удалить учетную запись.
6. Щелкните значок + в правом верхнем углу и отсканируйте изображение QR-кода, чтобы повторно добавить DUO_PROTECTED.
Запись в Университет Южной Каролины.
Что мне делать, если мне нужно повторно активировать мой телефон?
Для повторной активации телефона:
1.Войдите на myaccount.sc.edu и выберите UpdateAccount Settings. Войдите в систему, используя свое сетевое имя пользователя и пароль,
ответьте на контрольный вопрос, а затем выберите вкладку Многофакторность.
2. Введите номер своего мобильного телефона, выберите мобильный, выберите платформу, затем нажмите
Отправить.
3. Нажмите кнопку «Активировать» в разделе «Активировано?».
4. Откройте приложение Duo Mobile на своем смартфоне, нажмите и удерживайте DUO_PROTECTED University.
записи в Южной Каролине и выберите Удалить учетную запись.
5. Щелкните значок + в правом верхнем углу и отсканируйте изображение QR-кода. Это повторно добавит
запись DUO_PROTECTED из Университета Южной Каролины.
Что делать, если у меня нет мобильного телефона?
Если у вас нет мобильного телефона, вы можете использовать домашний или рабочий телефон для доступа к защищенному
Код аутентификации с помощью функции «Позвони мне».Любой телефон, используемый для этой цели
должен быть прямой линией, которая назначена только вам. Убедитесь, что это тот номер, который вы можете
быстрый доступ, чтобы принять телефонный звонок с одноразовым ключом доступа.
Где я могу получить помощь?
Обратитесь в службу поддержки по телефону 803-777-1800 с 8 а.м. до 18:00 с понедельника по пятницу.
Curl POST с базовой аутентификацией
Код PHP для примера базовой аутентификации Curl POST
Этот фрагмент кода PHP был создан автоматически для примера базовой аутентификации Curl POST.
<< Назад к примеру базовой аутентификации Curl POST
Что такое Curl?
Curl (сокращение от Client URL) — популярный инструмент командной строки, который разработчики используют для отправки запросов на сервер, загрузки файлов и отправки веб-форм.Curl поддерживает все современные протоколы, включая HTTP, HTTPS, SFTP, FTP, и имеет встроенную поддержку SSL, аутентификации пользователей и HTTP-файлов cookie. Curl работает на Linux, Mac, Windows.
Что такое HTTP POST?
POST — один из девяти стандартных методов протокола HTTP. Метод HTTP POST запрашивает у веб-сервера получение и обработку данных, содержащихся в теле сообщения POST. Метод POST часто используется для отправки форм входа или контактов, а также для загрузки файлов и изображений на сервер.
Синтаксис запроса POST Curl
curl -X POST [параметры] [URL]
Что такое базовая аутентификация?
Базовая проверка подлинности — это метод проверки подлинности клиента, встроенный в протокол HTTP, который позволяет клиенту предоставлять имя пользователя и пароль серверу при доступе к защищенным ресурсам через HTTP. При запросе защищенного ресурса клиент отправляет HTTP-запросы с заголовком авторизации, который содержит слово Basic, за которым следует пробел, и строка имени пользователя: пароля в кодировке base64.Базовая аутентификация — не самый безопасный метод, потому что другие снифферы протоколов могут легко расшифровать учетные данные пользователя в кодировке base64. По соображениям безопасности метод базовой аутентификации следует использовать только для безопасных соединений HTTPS / SSL.
Как опубликовать данные базовой аутентификации с помощью Curl?
Чтобы опубликовать запрос Curl с учетными данными базовой авторизации, вы можете использовать параметр командной строки -u (или —user): —user username: password .
Пример запроса базовой аутентификации Curl
curl --user "логин: пароль" [URL]
Curl автоматически преобразует предоставленную пару логин: пароль в строку в кодировке Base64 и добавляет к запросу соответствующий HTTP-заголовок:
"Авторизация: базовая bG9naW46cGFzc3dvcmQ ="
Пример базовой аутентификации пользователя с использованием запроса POST Curl
Общая форма команды Curl для выполнения запроса POST с базовой аутентификацией выглядит следующим образом:
с запросом POST Curl Пример базовой аутентификации
curl -X POST [URL]
-H "Content-Type: application / json"
-d "{post_data}"
--user "логин: пароль"
Где:
- -X: HTTP-метод, используемый для связи с сервером.
- -H: HTTP-заголовок для отправки на сервер с запросом POST.
- -d: данные для отправки на сервер с помощью запроса POST.
- —user: укажите имя пользователя и пароль, которые будут использоваться для аутентификации сервера.
См. Также
Создание фрагментов кода для PHP и других языков программирования
Преобразование запроса базовой аутентификации Curl POST в фрагменты кода PHP, JavaScript / AJAX, Curl / Bash, Python, Java, C # /. NET с использованием PHP генератор кода.
uВход в библиотеку аутентификации PHP
Около
uLogin — это библиотека PHP для добавления возможностей безопасного входа и аутентификации в веб-приложения. uLogin предоставляет инструменты для защищенных пользовательских сессий, хранения паролей, входа в систему. Он использует различные меры для
противодействовать различным видам онлайн- и офлайн-атак, а также ограничивать ущерб в случае нарушения. Расширенные возможности, такие как запомнить меня, поддержка двухфакторной аутентификации, распознавание попыток грубой силы,
а поддержка нескольких пользовательских баз данных в дополнение к множеству функций безопасности делает ее многофункциональной, безопасной и гибкой системой аутентификации.Инструменты для простой интеграции XSS / CSRF / предотвращения повторного воспроизведения в любой другой
Часть вашего веб-сайта представлена в виде компактной, но универсальной библиотеки nonce.
uLogin не является полным решением для управления пользователями или привилегиями. Он не управляет группами, разрешениями или представлением контента. uLogin — это не полноценное веб-приложение, а библиотека для создания веб-приложений.
Характеристики
Большинство функций не являются обязательными, но от них можно отказаться.
- Система, охватывающая несколько уровней всесторонней безопасности
- Независимость от платформы
- Обеспечивает безопасные соединения для передачи конфиденциальных данных
- Готов к многофакторной аутентификации, включая пример
- Поддержка нескольких баз данных аутентификации
- Различные типы SQL-баз данных
- LDAP
- OpenID
- СШ3
- Duo Security
- Защищенные сеансы
- Фиксация сеанса / предотвращение угона
- Предотвращение повтора
- Автоматическая смена SID
- Истечение времени ожидания сеанса
- Прямая замена стандартных функций PHP session_ *
- Пользовательское хранилище данных сеанса, обеспечивающее безопасность на общих хостах
- Также работает с распределенными веб-серверами
- Меры предотвращения множественного перебора
- Регулирование входа в систему
- Блокировка IP-адресов
- Блокировка пользователей
- Предотвращение атак времени входа в систему
- Автоматический вход («Запомнить меня»)
- Одноразовые номера на основе одноразовых номеров
- Проверка подлинности файлов cookie
- BC Пароли с шифрованием и с динамическим добавлением соли (если они поддерживаются серверной частью)
- Встроенная библиотека nonce с хешированными изменчивыми и постоянными одноразовыми номерами
- Предотвращение кликджекинга
- Регистрация событий, связанных с входом в систему
- Режим отладки для разработки
- Бесплатно с открытым исходным кодом
- Простая интеграция с captcha
- Придерживается принципа наименьших привилегий
- Настраиваемый, с безопасными значениями по умолчанию
- Разные вспомогательные процедуры
- Оценка надежности пароля
- Криптографически стойкая кроссплатформенная генерация случайных строк
- Генерация пароля, удобная для пользователя
Безопасность — Twilio
Twilio выполнит аутентификацию на вашем веб-сервере, используя предоставленные имя пользователя и пароль, и останется в системе в течение всего разговора.Мы настоятельно рекомендуем использовать HTTP-аутентификацию в сочетании с шифрованием. Для получения дополнительной информации о базовой и дайджест-аутентификации обратитесь к документации вашего веб-сервера.
Если вы укажете защищенный паролем URL, Twilio сначала отправит запрос с
№ Авторизация
заголовок. После того, как ваш сервер ответит 401 неавторизованным
код состояния, заголовок WWW-Authenticate
и область
в ответе, Twilio сделает тот же запрос с заголовком Authorization
.
Пример ответа от вашего сервера:
HTTP / 1.1 401 НЕСАНКЦИОНИРОВАНО
WWW-аутентификация: Basic realm = "My Realm"
Дата: среда, 21 июня 2017 г., 01:14:36 GMT
Тип содержимого: приложение / xml
Длина содержимого: 327
Проверочные запросы исходят от Twilio
Если ваше приложение предоставляет конфиденциальные данные или, возможно, изменяет ваши данные, вы можете быть уверены, что HTTP-запросы к вашему веб-приложению действительно исходят от Twilio, а не от злонамеренной третьей стороны.Чтобы обеспечить такой уровень безопасности, Twilio подписывает свои запросы криптографической подписью. Вот как это работает:
- Включите TLS на своем сервере и настройте свою учетную запись Twilio для использования URL-адресов HTTPS.
- Twilio собирает свой запрос в ваше приложение, включая конечный URL и все поля POST.
- Если ваш запрос представляет собой POST, Twilio берет все поля POST, сортирует их в алфавитном порядке по имени и объединяет имя параметра и значение в конец URL-адреса (без разделителя).
- Если запрос представляет собой GET, конечный URL-адрес включает все параметры запроса Twilio, добавленные в строку запроса исходного URL-адреса с использованием стандартного разделителя
и
между парами имя / значение.
- Twilio берет полученную строку (полный URL-адрес со схемой, портом, строкой запроса и любыми параметрами POST) и подписывает ее, используя HMAC-SHA1 и ваш AuthToken в качестве ключа.
- Twilio отправляет эту подпись в заголовке HTTP под названием
X-Twilio-Signature
Затем, с вашей стороны, если вы хотите проверить подлинность запроса, вы можете повторно собрать строку данных, выполнив точно такой же процесс.Если наши два хэша совпадают, значит запрос был подлинным. После этого вы можете быть уверены, что все данные, использованные для построения хэша, включая полный URL-адрес, строку запроса и параметры POST, были отправлены вам Twilio. Вот как вы бы выполнили проверку на своей стороне:
- Возьмите полный URL-адрес URL-адреса запроса, который вы указали для своего номера телефона или приложения, от протокола (https …) до конца строки запроса (все после?).
- Если запрос является POST, отсортируйте все параметры POST в алфавитном порядке (используя порядок сортировки в стиле Unix с учетом регистра).
- Просмотрите отсортированный список параметров POST и добавьте имя и значение переменной (без разделителей) в конец строки URL-адреса.
- Подпишите полученную строку с помощью HMAC-SHA1, используя свой AuthToken в качестве ключа (помните, что регистр AuthToken имеет значение!).
- Base64 кодирует полученное хеш-значение.
- Сравните ваш хэш с нашим, представленным в заголовке X-Twilio-Signature. Если они совпадают, тогда можно идти.
Давайте рассмотрим пример запроса.Допустим, Twilio отправил POST на вашу страницу:
Аутентификация для частных пакетов и репозиториев
Ваш частный сервер пакетов или система контроля версий, вероятно, защищены одним
или несколько вариантов аутентификации. Чтобы ваш проект имел доступ к этим
пакетов и репозиториев, вам нужно будет указать Composer, как аутентифицироваться на сервере, на котором они размещены.
Каждый раз, когда Composer встречает защищенный репозиторий Composer, он пытается аутентифицироваться
сначала используя уже определенные учетные данные.Если ни один из этих учетных данных не применяется, он предложит
для учетных данных и сохраните их (или токен, если Composer может его получить).
Иногда автоматическая аутентификация невозможна, или вы можете
учетные данные для аутентификации.
Учетные данные могут храниться в 3 разных местах; в auth.json
для проекта глобальный
auth.json
или в самом composer.json .
Аутентификация в auth.json для проекта #
В этом методе хранения аутентификации auth.json
будет находиться в той же папке
как файл проекта composer.json
. Вы можете создать и отредактировать этот файл, используя
в командной строке или вручную отредактируйте или создайте его.
Примечание. Убедитесь, что файл
auth.json
находится в.gitignore
, чтобы избежать
утечка учетных данных в вашу историю git.
Учетные данные глобальной аутентификации #
Если вы не хотите предоставлять учетные данные для каждого проекта, над которым вы работаете, сохраните свои учетные данные
глобально может быть лучшей идеей.Эти учетные данные хранятся в глобальном auth.json
в вашем
Домашний каталог Composer.
Глобальное редактирование учетных данных в командной строке #
Для всех методов аутентификации их можно редактировать с помощью командной строки;
Ручное редактирование учетных данных глобальной аутентификации #
Примечание: Не рекомендуется вручную редактировать параметры аутентификации, так как это может
приведет к недопустимому json. Вместо этого предпочтительно использовать командную строку.
Чтобы отредактировать его вручную, запустите:
конфигурация php composer.phar --global --editor [--auth]
Информацию о конкретных реализациях аутентификации см. В соответствующих разделах;
Редактирование этого файла вручную вместо использования командной строки может привести к ошибкам недопустимого json.
Чтобы исправить это, вам нужно открыть файл в редакторе и исправить ошибку. Чтобы найти местонахождение
ваш глобальный auth.json
, выполнить:
конфигурация php composer.phar --global home
Папка будет содержать ваш глобальный auth.json
, если он существует.
Вы можете открыть этот файл в своем любимом редакторе и исправить ошибку.
Аутентификация в самом файле composer.json #
Примечание: Это не рекомендуется , так как эти учетные данные видны
всем, у кого есть доступ к composer.json, либо когда он передается через
система контроля версий, такая как git, или когда злоумышленник получает доступ (чтение) к
файлы вашего производственного сервера.
Также можно добавить учетные данные к композитору .json
для каждого проекта в конфигурации
раздел или непосредственно в определении репозитория.
Аутентификация с использованием переменной среды COMPOSER_AUTH #
Примечание: Использование метода переменных среды командной строки также имеет последствия для безопасности.
Эти учетные данные, скорее всего, будут храниться в памяти,
и сохраняться в файле типа~ / .bash_history
(linux) илиConsoleHost_history.txt
(PowerShell в Windows) при закрытии сеанса.
Последний вариант предоставления Composer учетных данных - использование переменной среды COMPOSER_AUTH
.
Эти переменные могут быть переданы как переменные командной строки или установлены в фактических переменных среды.
Подробнее об использовании этой переменной среды читайте здесь.
http-basic #
Командная строка http-basic #
конфигурация php composer.phar [--global] http-basic.example.org имя пользователя пароль
Инструкция http-basic #
PHP композитор.phar config [--global] --editor --auth
{
"http-basic": {
"example.org": {
"имя пользователя": "имя пользователя",
"пароль": "пароль"
}
}
}
Встроенный http-basic #
Для встроенного метода аутентификации http-basic учетные данные не хранятся в отдельном
auth.json
в проекте или глобально, но в composer.json
или в глобальной конфигурации
там же, где определяется определение репозитория Composer.
Убедитесь, что имя пользователя и пароль закодированы в соответствии с RFC 3986 (2.1. Percent-Encoding).
Если имя пользователя, например - это адрес электронной почты, который необходимо передать как name% 40example.com
.
Встроенная командная строка http-basic #
php composer.phar config [--global] репозитории composer.unique-name https: // имя пользователя: [email protected]
Руководство по встроенному http-basic #
конфигурация php composer.phar [--global] --editor
{
"репозитории": [
{
"тип": "композитор",
"url": "https: // имя пользователя: пароль @ пример.org "
}
]
}
Аутентификация пользовательского токена #
Ручная аутентификация пользовательского токена #
конфигурация php composer.phar [--global] --editor
{
"репозитории": [
{
"тип": "композитор",
"url": "https://example.org",
"параметры": {
"http": {
"заголовок": [
«API-ТОКЕН: ВАШ-API-ТОКЕН»
]
}
}
}
]
}
gitlab-oauth #
Примечание: Чтобы аутентификация gitlab работала на частных экземплярах gitlab,
gitlab-domains
раздел также должен содержать url.
Командная строка gitlab-oauth #
конфигурация php composer.phar [--global] gitlab-oauth.example.org токен
Руководство gitlab-oauth #
конфигурация php composer.phar [--global] --editor --auth
{
"gitlab-oauth": {
"example.org": "токен"
}
}
gitlab-токен #
Примечание: Чтобы аутентификация gitlab работала на частных экземплярах gitlab,
gitlab-domains
раздел также должен содержать url.
Чтобы создать новый токен доступа, перейдите в раздел токенов доступа на GitLab.
(или эквивалентный URL-адрес в вашем частном экземпляре) и создайте новый токен. См. Также документацию по токену доступа GitLab для получения дополнительной информации.
При создании токена gitlab вручную убедитесь, что он имеет область действия read_api
или api
.
Командная строка gitlab-token #
конфигурация php composer.phar [--global] gitlab-token.example.org токен
Руководство gitlab-token #
PHP композитор.phar config [--global] --editor --auth
{
"gitlab-token": {
"example.org": "токен"
}
}
github-oauth #
Чтобы создать новый токен доступа, перейдите в раздел настроек токена на Github и сгенерируйте новый токен.
Для общедоступных репозиториев с ограничением скорости достаточно токена без какой-либо конкретной области (см. (без области действия)
в документации по областям). Такие токены предоставляют доступ только для чтения к общедоступной информации.
Для частных репозиториев требуется область репо
. Обратите внимание, что токену будет предоставлен широкий доступ для чтения / записи ко всем вашим частным репозиториям и многому другому - полный список см. В документации по областям. На момент написания (ноябрь 2021 г.) дальнейшее ограничение разрешений для таких токенов не представляется возможным.
Узнайте больше о токенах личного доступа или подпишитесь на план действий для токенов с большей областью действия на GitHub.
Командная строка github-oauth #
PHP композитор.phar config [--global] github-oauth.github.com токен
Инструкция github-oauth #
конфигурация php composer.phar [--global] --editor --auth
{
"github-oauth": {
"github.com": "токен"
}
}
bitbucket-oauth #
Драйвер BitBucket использует OAuth для доступа к вашим частным репозиториям через API-интерфейсы BitBucket REST, и вам потребуется создать потребителя OAuth для использования драйвера, см. Документацию Atlassian.Вам нужно будет заполнить URL-адрес обратного вызова чем-то, чтобы удовлетворить BitBucket, но адрес не должен никуда идти и не используется Composer.
Командная строка bitbucket-oauth #
конфигурация php composer.phar [--global] bitbucket-oauth.bitbucket.org ключ потребителя секрет потребителя
Руководство по битбакету-oauth #
конфигурация php composer.phar [--global] --editor --auth
{
"bitbucket-oauth": {
"битбакет.org ": {
"consumer-key": "ключ",
"секрет потребителя": "секрет"
}
}
}
Нашли опечатку? Что-то не так в этой документации?
Разветвляйте и редактируйте!
.