[Uniq!]

Ребят, помогите пожалуйста статейкой или книжкой где адекватно даётся мат.часть по авторизации пользователей в программе с использованием (хранением учётных записей) БД. Говно-код, вроде того, что проверяет данные в InputBox на этапе инициализации Application не предлагать

Общая идея, я так понял, выглядит так:

Код:

1 2 3 4 5 6 7 8 9 10

MainForm.OnCreate  with TFormLogin.Create(self) do    try    if вызов метода Auth, который возвращает true\false при авторизации then       не знаю что тут писать. По идее ничего, просто пропустить к методу Free;    else       а если авторизация не прошла как адекватно пропустить к методу Free, и при этом закрыть MainForm?    finally       Free;    end;

Сам метод Auth:

Код:

1 2 3 4 5 6 7 8

Result := false;   While not Result do      if ShowModal = mrOK            if возможно связаться с удалённой БД then               if данные совпадают then                 Result := True               else                 по идее нужно добавить какой-то счётчик на количество попыток

Возникают следующие вопросы:
а если к БД не будет доступа, что тогда? Пользователь не сможет работать с программой?)
В каком виде хранить пароли в БД? Cash какого-нибудь RSA(пароль) и сравнивать тогда уже только хеши?

[Freeman]

Цитата:

Сообщение от Uniq!

а если к БД не будет доступа, что тогда? Пользователь не сможет работать с программой?)

Такая тема уже была, и я даже в ней ответил.

Цитата:

Сообщение от Uniq!

В каком виде хранить пароли в БД? Cash какого-нибудь RSA(пароль) и сравнивать тогда уже только хеши?

Да, так обычно и делают MD5 уже не советуют, сейчас надежным считается SHA256.

[Uniq!]

Цитата:

Сообщение от Freeman

SHA256

Я правильно понимаю, что можно воспользоваться APIшными функциями самой винды, чтоб создать Хеш?

[Freeman]

А есть такие? В исходниках Indy вроде самопал какой-то.

[Uniq!]

Цитата:

Сообщение от Freeman

А есть такие? В исходниках Indy вроде самопал какой-то.

Инди упал при вызове функции SHA1.

Вот MSDN-ссылка
Ну и статья по теме: Delphi и Windows API для защиты секретов

[Freeman]

Цитата:

Сообщение от Uniq!

Ну и статья по теме: Delphi и Windows API для защиты секретов

Спасибо за статью, добавил закладку себе в доки. Сейчас этой темой не занимаюсь, так что в плане помощи по безопасной авторизации я пас.

[Bargest]

Цитата:

Общая идея, я так понял, выглядит так:

Если база удаленная - то наверно как-то так. При этом, как я понимаю, все операции должны проводиться на сервере, а программа - лишь юзер-интерфейс. В таких случаях можно сгенерить сервером какой-нибудь одноразовый ключик и до конца сессии программа будет при обращениях его юзать.
Что касается хеширования - пароль можно сначала посолить, а потом уже посчитать хеш.

[Uniq!]

Что касается шифров - я понял. Хромает архитектура.

Код:

1 2 3 4 5 6 7 8 9 10

procedure TFormMain.FormCreate(Sender: TObject); begin   with TFormLogin.Create(Self) do     try       if not Authorization(Users) then // Users - это DataSet с информацией о всех пользователях, хранимых в БД         Halt;     finally       Free;     end; end;

После HALT - сыпятся ошибки доступа к памяти. Я понимаю, что это очень жёсткое прерыванием процедуры Чем заменить?
Если Application.Terminate, то форма успевает "мигнуть", не по феншую


В самом методе Authorization я предполагаю:

Код:

1 2 3 4 5 6

while Result <> true do     Result := ShowModal = mrOK // пока нажимают ОК (пытаясь войти)     if Users.Locate('Login;Cash', VarArrayOf([edLogin.Text, edCash.Text]),       []) then // если нашёлся, тогда выходим из цикла, возвращаем true       Result := true;   end;

т.е. сам метод возвращает либо true (В случае авторизации) либо false (В случае, когда надо закрывать приложение нафиг).

От идеи с уже открытым окном и кнопкой авторизации пришлось отказаться в силу "указаний руководства". Не хотят показывать даже GUI программы.

[Bargest]

Может прописать это в коде самого проекта, до создания форм?

[Freeman]

Цитата:

Сообщение от Uniq!

Если Application.Terminate, то форма успевает "мигнуть", не по феншую

Вроде можно так:

Код:

1 2 3 4 5

begin   ...   Application.ShowMainForm := False;   ... end;

[Uniq!]

Код:

1	Application.ShowMainForm := False;

Помогло, спасибо.

Код:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

function TFormLogin.Authorization(Users: TADOTable): boolean; begin   dsUsers.DataSet := Users;     repeat     if ShowModal = mrOK then     begin       if dsUsers.DataSet.Locate('Login;Cash',         VarArrayOf([edLogin.Text, edCash.Text]), []) then       begin         dsUsers.DataSet.Edit;         if cbRememberMe.Checked = true then           Users.FieldByName('Remember').AsInteger := 1;         dsUsers.DataSet.FieldByName('LoginDate').AsDateTime := Now;         dsUsers.DataSet.Post;         Result := true;       end       else       begin         edCash.Clear;         if edLogin.Text = '' then           edLogin.SetFocus         else           edCash.SetFocus;       end;     end     else       Break;   until Result = true; end;

Т.е. я как делаю: повторять попытки входа, пока пользователь жмёт ok. Как только ShowModal не равен mrOK цикл прерывается и вываливается с Result = False; что влечёт за собой Terminate.

Не нравится "break". Может как-то без этого можно обойтись?

[Bargest]

Код:

1	while (not result) and (showmodal = mrok) do

Только result предварительно инициализировать.