Pembaruan (14 Mei 2010):
Ternyata, pengembang Rusia Ilya Konyukhov mengambil tantangan setelah membaca ini dan membuat perpustakaan auth baru untuk CI berdasarkan DX Auth, mengikuti rekomendasi dan persyaratan di bawah ini.
Dan Auth Tank yang dihasilkan tampak seperti jawaban untuk pertanyaan OP. Saya akan pergi mengambil risiko di sini dan memanggil Tank Auth perpustakaan otentikasi terbaik untuk CodeIgniter tersedia hari ini. Ini adalah pustaka rock-solid yang memiliki semua fitur yang Anda butuhkan dan tidak ada mengasapi yang tidak Anda miliki:
Auth Tank
Pro
- Berfitur lengkap
- Jejak kaki ramping (20 file) mempertimbangkan set fitur
- Dokumentasi yang sangat bagus
- Desain database sederhana dan elegan (hanya 4 tabel DB)
- Sebagian besar fitur bersifat opsional dan mudah dikonfigurasi
- Dukungan file bahasa
- reCAPTCHA didukung
- Menghubungkan ke sistem validasi CI
- Email aktivasi
- Login dengan email, nama pengguna atau keduanya (dapat dikonfigurasi)
- Akun yang tidak diaktifkan akan kedaluwarsa secara otomatis
- Penanganan kesalahan yang sederhana namun efektif
- Menggunakan phpass untuk hashing (dan juga hashes kode autologin dalam DB)
- Tidak menggunakan pertanyaan keamanan
- Pemisahan data pengguna dan profil sangat bagus
- Model keamanan yang sangat masuk akal di sekitar upaya login yang gagal (perlindungan yang baik terhadap serangan bot dan DoS)
(Kecil) Kontra
- Kode kata sandi yang hilang tidak terpotong dalam DB
- Termasuk CAPTCHA asli (buruk), yang bagus untuk mereka yang tidak ingin bergantung pada layanan reCAPTCHA (milik Google), tetapi sebenarnya tidak cukup aman
- Dokumentasi online yang sangat jarang (masalah kecil di sini, karena kodenya didokumentasikan dengan baik dan intuitif)
Unduh Tank Auth di sini
Jawaban asli:
Saya juga menerapkannya sendiri (saat ini sekitar 80% dilakukan setelah beberapa minggu bekerja). Saya mencoba semua yang lain terlebih dahulu; FreakAuth Light, Auth DX, Redux, SimpleLogin, SimpleLoginSecure, pc_user, Fresh Powered, dan beberapa lainnya. Tak satu pun dari mereka yang normal, IMO, entah mereka kekurangan fitur dasar, inheren INsecure, atau terlalu kembung untuk seleraku.
Sebenarnya, saya melakukan perincian terperinci dari semua perpustakaan otentikasi untuk CodeIgniter ketika saya menguji mereka (setelah Tahun Baru). FWIW, saya akan membagikannya kepada Anda:
DX Auth
Pro
- Berfitur sangat lengkap
- Jejak sedang (25+ file), tetapi berhasil merasa cukup ramping
- Dokumentasi yang bagus, meskipun beberapa dalam bahasa Inggris yang sedikit rusak
- Dukungan file bahasa
- reCAPTCHA didukung
- Menghubungkan ke sistem validasi CI
- Email aktivasi
- Akun yang tidak diaktifkan akan kedaluwarsa secara otomatis
- Sarankan grc.com untuk garam (tidak buruk untuk PRNG)
- Larangan dengan string 'alasan' yang tersimpan
- Penanganan kesalahan yang sederhana namun efektif
Cons
- Hanya memungkinkan pengguna 'mereset' kata sandi yang hilang (daripada membiarkan mereka memilih yang baru saat diaktifkan kembali)
- Homebrew pseudo-event model - niat baik, tetapi meleset dari sasaran
- Dua bidang kata sandi di tabel pengguna, gaya buruk
- Menggunakan dua tabel pengguna terpisah (satu untuk pengguna 'temp' - ambigu dan redundan)
- Menggunakan hashing md5 yang berpotensi tidak aman
- Upaya masuk yang gagal hanya disimpan oleh IP, bukan oleh nama pengguna - tidak aman!
- Kunci autologin tidak di-hash dalam database - praktis tidak aman seperti menyimpan kata sandi di cleartext!
- Sistem peran adalah kekacauan lengkap: fungsi is_admin dengan nama peran yang dikodekan keras, is_role kekacauan lengkap, check_uri_permissions adalah kekacauan, seluruh tabel izin adalah ide yang buruk (URI dapat mengubah dan membuat halaman tanpa perlindungan; izin harus selalu disimpan dengan tepat di mana logika sensitif berada). Pelaku transaksi!
- Termasuk CAPTCHA asli (miskin)
- Antarmuka fungsi reCAPTCHA berantakan
FreakAuth Light
Pro
- Berfitur sangat lengkap
- Sebagian besar kode didokumentasikan dengan cukup baik
- Pemisahan data pengguna dan profil adalah sentuhan yang bagus
- Menghubungkan ke sistem validasi CI
- Email aktivasi
- Dukungan file bahasa
- Dikembangkan secara aktif
Cons
- Terasa sedikit kembung (50+ file)
- Namun tidak memiliki login cookie otomatis (!)
- Tidak mendukung login dengan nama pengguna dan email
- Tampaknya memiliki masalah dengan karakter UTF-8
- Membutuhkan banyak autoloading (menghambat kinerja)
- File konfigurasi micromanaged buruk
- Pemisahan View-Controller yang mengerikan, dengan banyak logika program dalam tampilan dan output yang dikodekan ke dalam controller. Pelaku transaksi!
- Kode HTML buruk dalam tampilan yang disertakan
- Termasuk CAPTCHA di bawah standar
- Debug debuged berkomentar di mana-mana
- Memaksa struktur folder tertentu
- Memaksa pustaka Ajax tertentu (dapat diaktifkan, tetapi seharusnya tidak ada di tempat pertama)
- Tidak ada batasan maksimal pada upaya login - SANGAT tidak aman! Pelaku transaksi!
- Pembajakan membentuk validasi
- Menggunakan hashing md5 yang berpotensi tidak aman
pc_user
Pro
- Fitur yang baik diatur untuk tapaknya yang mungil
- Ringan, tanpa mengasapi (3 file)
- Login cookie otomatis yang elegan
- Dilengkapi dengan implementasi tes opsional (sentuhan yang bagus)
Cons
- Menggunakan sintaks basis data CI lama (kurang aman)
- Tidak terhubung ke sistem validasi CI
- Sistem status (peran) agak tidak intuitif (indeks terbalik - tidak praktis)
- Menggunakan hashing sha1 yang berpotensi tidak aman
Didukung Baru
Pro
Cons
- Tidak memiliki banyak fitur penting. Pelaku transaksi!
- Semuanya kode-keras. Pelaku transaksi!
Redux / Ion Auth
Menurut wiki CodeIgniter , Redux telah dihentikan, tetapi garpu Ion Auth semakin kuat: https://github.com/benedmunds/CodeIgniter-Ion-Auth
Ion Auth adalah perpustakaan berfitur baik tanpa terlalu berat atau kurang maju. Dalam kebanyakan kasus, set fiturnya akan lebih dari sekadar memenuhi kebutuhan proyek.
Pro
- Ringan dan mudah diintegrasikan dengan CodeIgniter
- Mendukung pengiriman email langsung dari perpustakaan
- Komunitas pengguna / pengguna aktif yang didokumentasikan dengan baik dan aktif
- Mudah diimplementasikan ke dalam proyek
Cons
- Skema DB yang lebih kompleks daripada yang lain
- Dokumentasi kurang detail di beberapa area
SimpleLoginSecure
Pro
- Jejak kecil (4 file)
- Minimalis, sama sekali tidak mengasapi
- Menggunakan phpass untuk hashing (luar biasa)
Cons
- Hanya login, logout, buat dan hapus
- Tidak memiliki banyak fitur penting. Pelaku transaksi!
- Lebih banyak titik awal daripada perpustakaan
Jangan salah paham: Saya tidak bermaksud untuk tidak menghormati salah satu perpustakaan di atas; Saya sangat terkesan dengan apa yang telah dicapai oleh pengembang mereka dan seberapa jauh masing-masing dari mereka telah datang, dan saya tidak menggunakan kembali beberapa kode mereka untuk membuat kode saya sendiri. Apa yang saya katakan adalah, kadang-kadang dalam proyek-proyek ini, fokus bergeser dari 'kebutuhan-untuk-dimiliki' yang penting (seperti praktik keamanan keras) ke 'kebaikan-untuk-dimiliki' yang lebih lunak, dan itulah yang saya harap dapat diperbaiki. .
Oleh karena itu: kembali ke dasar.
Otentikasi untuk CodeIgniter dilakukan dengan benar
Inilah MINIMAL saya yang diperlukan daftar fitur dari perpustakaan otentikasi. Ini juga merupakan subset dari daftar fitur perpustakaan saya sendiri;)
- Jejak kecil dengan implementasi tes opsional
- Dokumentasi lengkap
- Tidak diperlukan autoloading. Pemuatan perpustakaan yang tepat waktu untuk kinerja
- Dukungan file bahasa; tidak ada string yang dikodekan
- reCAPTCHA didukung tetapi opsional
- Disarankan pembuatan garam acak TRUE (mis. Menggunakan random.org atau random.irb.hr)
- Add-on opsional untuk mendukung login pihak ketiga (OpenID, Facebook Connect, Akun Google, dll.)
- Login menggunakan nama pengguna atau email
- Pemisahan data pengguna dan profil
- Email untuk aktivasi dan kata sandi yang hilang
- Fitur login cookie otomatis
- Phpass yang dapat dikonfigurasi untuk hashing (tentu saja asin dengan benar!)
- Hashing kata sandi
- Hashing kode autologin
- Hashing kode kata sandi yang hilang
- Menghubungkan ke sistem validasi CI
- TIDAK ADA pertanyaan keamanan!
- Kebijakan server sisi kebijakan yang kuat, dengan validator sisi klien (Javascript) opsional
- Jumlah maksimum upaya login gagal yang dipaksakan dengan penanggulangan PRAKTEK TERBAIK terhadap serangan kamus dan DoS!
- Semua akses basis data dilakukan melalui pernyataan yang disiapkan (terikat)!
Catatan: poin-poin terakhir itu bukanlah kerja keras keamanan super tinggi yang tidak Anda perlukan untuk aplikasi web Anda. Jika pustaka otentikasi tidak memenuhi standar keamanan ini 100%, JANGAN GUNAKAN!
Contoh profil tinggi terbaru dari pembuat kode yang tidak bertanggung jawab yang meninggalkan mereka dari perangkat lunak mereka: # 17 adalah bagaimana email AOL Sarah Palin diretas selama kampanye Presiden; kombinasi jahat dari # 18 dan # 19 adalah pelakunya baru-baru ini ketika akun Twitter Britney Spears, Barack Obama, Fox News dan lainnya diretas; dan # 20 saja adalah bagaimana peretas Cina berhasil mencuri 9 juta item informasi pribadi dari lebih dari 70.000 situs web Korea dalam satu peretasan otomatis pada 2008.
Serangan-serangan ini bukan operasi otak. Jika Anda membiarkan pintu belakang terbuka lebar, Anda seharusnya tidak menipu diri sendiri dengan rasa aman yang salah dengan mengunci bagian depan. Selain itu, jika Anda cukup serius tentang pengkodean untuk memilih kerangka kerja praktik terbaik seperti CodeIgniter, Anda berhutang pada diri sendiri untuk setidaknya mendapatkan langkah-langkah keamanan paling dasar yang dilakukan dengan benar.
<rant>
Pada dasarnya, begini caranya: Saya tidak peduli apakah perpustakaan autentik menawarkan banyak fitur, manajemen peran lanjutan, kompatibilitas PHP4, font CAPTCHA yang cantik, tabel negara, panel admin lengkap, bel dan peluit - jika perpustakaan benar-benar membuat situs saya kurang aman dengan tidak mengikuti praktik terbaik. Ini adalah paket otentikasi ; perlu melakukan SATU hal dengan benar: Otentikasi. Jika gagal melakukan itu , itu sebenarnya lebih banyak merugikan daripada kebaikan.
</rant>
/ Jens Roland