[Uniq!]

Ребят, помогите пожалуйста статейкой или книжкой где адекватно даётся мат.часть по авторизации пользователей в программе с использованием (хранением учётных записей) БД. Говно-код, вроде того, что проверяет данные в InputBox на этапе инициализации Application не предлагать

Общая идея, я так понял, выглядит так:

Код:

MainForm.OnCreate
 with TFormLogin.Create(self) do
   try
   if вызов метода Auth, который возвращает true\false при авторизации then
      не знаю что тут писать. По идее ничего, просто пропустить к методу Free; 
   else
      а если авторизация не прошла как адекватно пропустить к методу Free, и при этом закрыть MainForm?
   finally
      Free;
   end;

Сам метод Auth:

Код:

Result := false;
  While not Result do
     if ShowModal = mrOK
           if возможно связаться с удалённой БД then
              if данные совпадают then
                Result := True
              else 
                по идее нужно добавить какой-то счётчик на количество попыток

Возникают следующие вопросы:
а если к БД не будет доступа, что тогда? Пользователь не сможет работать с программой?)
В каком виде хранить пароли в БД? Cash какого-нибудь RSA(пароль) и сравнивать тогда уже только хеши?

[Freeman]

Цитата:

Сообщение от Uniq!

а если к БД не будет доступа, что тогда? Пользователь не сможет работать с программой?)

Такая тема уже была, и я даже в ней ответил.

Цитата:

Сообщение от Uniq!

В каком виде хранить пароли в БД? Cash какого-нибудь RSA(пароль) и сравнивать тогда уже только хеши?

Да, так обычно и делают MD5 уже не советуют, сейчас надежным считается SHA256.

[Uniq!]

Цитата:

Сообщение от Freeman

SHA256

Я правильно понимаю, что можно воспользоваться APIшными функциями самой винды, чтоб создать Хеш?

[Freeman]

А есть такие? В исходниках Indy вроде самопал какой-то.

[Uniq!]

Цитата:

Сообщение от Freeman

А есть такие? В исходниках Indy вроде самопал какой-то.

Инди упал при вызове функции SHA1.

Вот MSDN-ссылка
Ну и статья по теме: Delphi и Windows API для защиты секретов

[Freeman]

Цитата:

Сообщение от Uniq!

Ну и статья по теме: Delphi и Windows API для защиты секретов

Спасибо за статью, добавил закладку себе в доки. Сейчас этой темой не занимаюсь, так что в плане помощи по безопасной авторизации я пас.

[Bargest]

Цитата:

Общая идея, я так понял, выглядит так:

Если база удаленная - то наверно как-то так. При этом, как я понимаю, все операции должны проводиться на сервере, а программа - лишь юзер-интерфейс. В таких случаях можно сгенерить сервером какой-нибудь одноразовый ключик и до конца сессии программа будет при обращениях его юзать.
Что касается хеширования - пароль можно сначала посолить, а потом уже посчитать хеш.

[Uniq!]

Что касается шифров - я понял. Хромает архитектура.

Код:

procedure TFormMain.FormCreate(Sender: TObject);
begin
  with TFormLogin.Create(Self) do
    try
      if not Authorization(Users) then // Users - это DataSet с информацией о всех пользователях, хранимых в БД
        Halt;
    finally
      Free;
    end;
end;

После HALT - сыпятся ошибки доступа к памяти. Я понимаю, что это очень жёсткое прерыванием процедуры Чем заменить?
Если Application.Terminate, то форма успевает "мигнуть", не по феншую


В самом методе Authorization я предполагаю:

Код:

while Result <> true do
    Result := ShowModal = mrOK // пока нажимают ОК (пытаясь войти)
    if Users.Locate('Login;Cash', VarArrayOf([edLogin.Text, edCash.Text]),
      []) then // если нашёлся, тогда выходим из цикла, возвращаем true
      Result := true;
  end;

т.е. сам метод возвращает либо true (В случае авторизации) либо false (В случае, когда надо закрывать приложение нафиг).

От идеи с уже открытым окном и кнопкой авторизации пришлось отказаться в силу "указаний руководства". Не хотят показывать даже GUI программы.

[Bargest]

Может прописать это в коде самого проекта, до создания форм?

[Freeman]

Цитата:

Сообщение от Uniq!

Если Application.Terminate, то форма успевает "мигнуть", не по феншую

Вроде можно так:

Код:

begin
  ...
  Application.ShowMainForm := False;
  ...
end;

[Uniq!]

Код:

Application.ShowMainForm := False;

Помогло, спасибо.

Код:

function TFormLogin.Authorization(Users: TADOTable): boolean;
begin
  dsUsers.DataSet := Users;

  repeat
    if ShowModal = mrOK then
    begin
      if dsUsers.DataSet.Locate('Login;Cash',
        VarArrayOf([edLogin.Text, edCash.Text]), []) then
      begin
        dsUsers.DataSet.Edit;
        if cbRememberMe.Checked = true then
          Users.FieldByName('Remember').AsInteger := 1;
        dsUsers.DataSet.FieldByName('LoginDate').AsDateTime := Now;
        dsUsers.DataSet.Post;
        Result := true;
      end
      else
      begin
        edCash.Clear;
        if edLogin.Text = '' then
          edLogin.SetFocus
        else
          edCash.SetFocus;
      end;
    end
    else
      Break;
  until Result = true;
end;

Т.е. я как делаю: повторять попытки входа, пока пользователь жмёт ok. Как только ShowModal не равен mrOK цикл прерывается и вываливается с Result = False; что влечёт за собой Terminate.

Не нравится "break". Может как-то без этого можно обойтись?

[Bargest]

Код:

while (not result) and (showmodal = mrok) do

Только result предварительно инициализировать.