Lesson 05

Раздел 5:
Хранение состояния и
аутентификация
План вебинара
– Проблема хранения состояния в вебе


– Cookies (куки)

– Сессии

– Сессии
– Что такое аутентификация

– Сессии
– Правильное хранение паролей

– Сессии
– Правильное хранение паролей
– Организуем вход на сайт
Хранение состояния
сохранение информации о текущем пользователе
между разными запросами
Вспоминаем как работает HTTP
Пользователь вводит адрес сайта в  
своем браузере
1
1
Браузер отсылает HTTP запрос на сервер

2
GET / HTTP/1.1
Host: giftube.academy
1
Браузер отсылает HTTP запрос на сервер

2
GET / HTTP/1.1
Браузер получает от сервера ответ и

показывает страницу
3
HTTP/1.1 200 OK
Content-Length: 7890
Для чего хранить состояние
– Отслеживание активности
Счетчики. Узнать сколько раз пользователь заходил на  
ваш сайт и какие страницы смотрел
– Кастомизация
Сохранение для пользователя выбранного языка,  
страны, других настроек
– Идентификация
Дать доступ к закрытым разделам сайта  
зарегистрированным пользователям
Добавление в избранное
На странице просмотра добавить  

гифку в избранное
На странице просмотра добавить   Видеть все избранные гифки  

гифку в избранное на отдельной странице
Cookies
небольшая порция текстовой информации, которую
сервер передает браузеру.
Браузер будет хранить эту информацию и

передавать её обратно серверу с каждым запросом
Свойства cookies
– Поддерживаются всеми браузерами


– Кусок текстовой информации

– Передаются в заголовках при каждом запросе

– Браузер сам определяет какому сайту какие куки отправлять

– Браузер сам определяет какому сайту какие куки отправлять
– Имеют «срок годности»
Первое посещение - установка
1 Браузер отсылает HTTP запрос на сервер

Чтобы «запомнить» пользователя, сервер отсылает

2 специальный заголовок ответа «cookies» с данными
Чтобы «запомнить» пользователя, сервер отсылает

2 специальный заголовок ответа «cookies» с данными
3 Браузер сохраняет cookies в своем хранилище

Следующие посещения - получение
Браузер отсылает HTTP запрос вместе с куками на

1 сервер
Браузер отсылает HTTP запрос вместе с куками на

1 сервер
Сервер узнает пользователя и возвращает ему

2 релевантную информацию
Как сервер отправляет cookie
Добавить в ответ новый

заголовок с данными куки

gifs_fav = [15, 24, 56]


gifs_fav = [15, 24, 56]

Отправить клиенту контент
страницы вместе с заголовками

gifs_fav = [15, 24, 56]

Отправить клиенту контент
страницы вместе с заголовками
Извлечь куку из заголовков и

сохранить её у себя
Как сервер получает cookie
Браузер находит у себя все

сохраненные для этого сайта куки
Браузер находит у себя все gifs_fav = [15, 24, 56]


User-Agent: Chrome 60 Браузер добавляет куку к
Cookie: gifs_fav=15,24,56 остальным заголовкам запроса
Accept: text/html

User-Agent: Chrome 60 Браузер добавляет куку к
Cookie: gifs_fav=15,24,56 остальным заголовкам запроса
Accept: text/html
PHP-сценарий получает куку из

заголовков запроса
Из чего состоят cookies
Заголовок ответа для установки cookie
Set-Cookie:  
NAME=VALUE; expires=DATE; path=PATH; domain=DOMAIN_NAME;
Set-Cookie:  
Имя куки. Строка без спецсимволов. 

Пример: gifs_fav
Set-Cookie:  
Полезная информация. Значение куки 

Пример: 15,24,56
Set-Cookie:  
Время жизни куки. При наступлении этой

даты кука уничтожится 
Пример: Mon, 25-Jan-2027 10:03:02 GMT
Set-Cookie:  
Путь на сайте, для которого будет доступна кука.

Для работы на всем сайте указывается "слеш" 
Пример: /
Set-Cookie:  
Домен, для которого устанавливается кука. 

Пример: .htmlacademy.ru
Заголовок запроса для передачи cookie
Cookie: NAME1=STRING1; NAME2=STRING2 ...

Заголовок запроса для передачи cookie
Cookie: NAME1=STRING1; NAME2=STRING2 ...
• В одном заголовке передаются все куки для этого сайта
• Строки вида «ключ-значение»
• Разделяются точкой с запятой

Скриншот из браузера
Где хранятся cookies
Все куки хранятся в отдельном файле, который находится 
в папке с конфигурацией браузера
Когда удаляются cookies?
Куки удаляются в двух случаях:
• истёк их срок жизни
• очистка истории браузера
Когда удаляются cookies?
Куки удаляются в двух случаях:
• истёк их срок жизни
• очистка истории браузера
Работа с cookies в PHP
Написать PHP-сценарий, который будет считать  
количество посещений пользователем страницы  
и выводить этот счетчик на экран.
Для хранения счетчика между посещениями  

страницы будет использовать cookies
Нам понадобятся следующие функции:
• strtotime($date) 
переводит дату из человеческого описания в формат для cookies
• setcookie($name, $value, $expire, $path)

устанавливает куку и все параметры, отсылает заголовок
• setcookie($name, $value, $expire, $path)

устанавливает куку и все параметры, отсылает заголовок
<?php 
$name = "visitcount";
$value = 1; 
$expire = "Mon, 25-Jan-2027 10:00:00 GMT"; 
$path = "/"; 
 
setcookie($name, $value, $expire, $path);
<?php 
$name = "visitcount"; уникальное имя куки
$value = 1; 
$path = "/"; 
 
<?php 
$value = 1;  значение куки
$path = "/"; 
 
<?php 
$expire = "Mon, 25-Jan-2027 10:00:00 GMT";  дата удаления
$path = "/"; 
 
<?php 
$expire = "Mon, 25-Jan-2027 10:00:00 GMT";  дата удаления
$path = "/";  устанавливаем на весь сайт
 
Чтение куки
<?php 
if (isset($_COOKIE['visitcount'])) { 
print $_COOKIE['visitcount']; 
}
Чтение куки
<?php 
if (isset($_COOKIE['visitcount'])) { 
print $_COOKIE['visitcount']; 
}
Все куки PHP автоматически помещает  

в специальный глобальный массив
Как удалить cookie
Очистить массив $_COOKIES и послать заголовок, который  
удалит куку из браузера
<?php 
if (isset($_COOKIE['visit_count'])) { 
unset($_COOKIE['visit_count']);
 
setcookie('key', '', time() - 3600, '/'); 
}
Как удалить cookie
Очистить массив $_COOKIES и послать заголовок, который  
удалит куку из браузера
<?php 
if (isset($_COOKIE['visit_count'])) { 
unset($_COOKIE['visit_count']);
 
setcookie('key', '', time() - 3600, '/'); 
}
устанавливаем дату из прошлого

Безопасность при работе с cookies
В куках может содержаться конфиденциальная информация,  
а значит они могут стать мишенью злоумышленников
bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [,  

string $domain = "" [, bool $secure = FALSE [, bool $httponly = FALSE ]]]]]] )
Безопасность при работе с cookies
В куках может содержаться конфиденциальная информация,  
а значит они могут стать мишенью злоумышленников
bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [,  

string $domain = "" [, bool $secure = FALSE [, bool $httponly = FALSE ]]]]]] )
Как повысить безопасность:

• secure
передача кук только по протоколу https
• httponly
запрет на использование из JavaScript (XSS уязвимость)
Достоинства и недостатки cookies
Достоинства
• Самый универсальный и стандартный  

способ хранения состояния
• Поддерживается всеми браузерами
• Отличная поддержка в PHP
Достоинства и недостатки cookies
Достоинства Недостатки
• Самый универсальный и стандартный   • Ограничения по формату и  

способ хранения состояния объему данных
• Поддерживается всеми браузерами • Зависят от заголовков
• Отличная поддержка в PHP • Проблемы с безопасностью
Сессии
способ хранения данных о сеансе пользователя на
стороне сервера
Что такое сессии
Сессии – это не стандарт и не часть протокола, а  
понятие из языка PHP, надстройка над обычными cookies
Преимущества:
• абстракция над cookies
• могут хранить любые объемы и типы данных
Преимущества:
• абстракция над cookies
• могут хранить любые объемы и типы данных
Особенности:
• живут только внутри одного сеанса
• хранят данные в файлах (по умолчанию)
• требуют для своей работы cookies
Как работают сессии
PHP генерирует случайный идентификатор сессии на
1 основе данных пользователя
PHP создает специальный файл с этим именем, где

2 будет хранить данные сессии

PHP создает специальную куку с именем PHPSESSID,

3 куда записывает идентификатор сессии

PHP создает специальную куку с именем PHPSESSID,

3 куда записывает идентификатор сессии
При следующих запросах проверяется эта кука, и по

4 значению из неё запрашивается информация из файла
Сессионный cookie
Сессионный cookie
Сессионная кука – как номерок в гардеробе:  

не содержит предмет, но позволяет его получить
Где хранятся сессии
Сессии хранятся в виде файлов в ФС сервера.
Один файл - одна сессия конкретного пользователя

Где хранятся сессии
Сессии хранятся в виде файлов в ФС сервера.
Один файл - одна сессия конкретного пользователя
root@localhost:/var/lib/php/sessions# ls –la
-rw------- 1 0 Apr 28 14:22 sess_03otfci957os118v6eppfeuvc4

-rw------- 1 0 Apr 28 14:16 sess_8nfdaan5ueecme63bfhuet0f06
-rw------- 1 967 Apr 28 14:43 sess_95vttihdopv5u1kj1cd66eqfu3
-rw------- 1 967 Apr 28 14:44 sess_h88moinp3qpk8tdve2embccps3
Сколько существует сессия
• Время жизни сессии – 24 минуты
• Сессия уничтожается при закрытии браузера
Сколько существует сессия
• Время жизни сессии – 24 минуты
• Сессия уничтожается при закрытии браузера
Увеличение времени жизни сессии
<?php 
ini_set('session.cookie_lifetime', 86400); 
ini_set('session.gc_maxlifetime', 86400);
Перерыв на 10 минут
Сравнение сессий и cookies
Куки Сессии
Тип хранимых данных только простые строки строки, массивы, числа, объекты
Максимальный размер ~ 4 Кб не ограничен
Место хранения в браузере на сервере
Время жизни до 20 лет до окончания сеанса
установка и удаление через не отличается от работы с

Удобство использования
спец. функции обычными переменными
Доступ с клиента возможен отсутствует

Где использовать куки и сессии
Cookies
• хранение настроек сайта

• отслеживание посещаемости
• хранение небольших объемов  
данных
Где использовать куки и сессии
Cookies Сессии
• хранение настроек сайта • сохранять ключ капчи

• отслеживание посещаемости • хранение данных пользователя
• хранение небольших объемов   • хранение любых данных  
данных в рамках сеанса
Практика работы с сессиями
<?php 
session_start(); 
 
if (isset($_SESSION['username'])) { 
print($_SESSION['username']); 
} 
 
$_SESSION['username'] = "Вася";
Обязательно при использовании сессий
<?php 
session_start(); 
 
} 
 
<?php 
session_start(); 
 
} 
чтение значения из сессии
 
<?php 
session_start(); 
 
} 
чтение значения из сессии
 
запись значения в сессию

Как удалить сессию
Чтобы удалить все данные и закрыть сессию, просто  
обнулите массив $_SESSION.
При окончании работы скрипта PHP автоматически  

удалит все данные сессии на сервере.
Как удалить сессию
Чтобы удалить все данные и закрыть сессию, просто  
обнулите массив $_SESSION.
При окончании работы скрипта PHP автоматически  

удалит все данные сессии на сервере.
$_SESSION = [];
Аутентификация
процедура проверки логина и пароля пользователя
Происходит на сайте путем сопоставления

полученного от пользователя логина и пароля с
сохраненными в базе данных
Как делить пользователей
Сайт может предоставлять залогиненным пользователям  
дополнительные возможности
Анонимный
1. Смотреть гифки
Анонимный С аккаунтом
1. Смотреть гифки 1. Смотреть гифки

2. Добавлять гифки
3. Оставлять комментарии
4. Лайкать
5. Добавлять в избранное
Закрытая часть сайта
Главная
Добавление Просмотр
Gif Tube
Избранное Регистрация
Категория
Главная
Gif Tube
Категория
Главная
Gif Tube
Категория
Где используется аутентификация
– при логине в свой аккаунт в соц. сети


– в интернет-банке (как правило, добавляется смс код)

– в интернет-магазине для доступа к своим заказам

– в интернет-магазине для доступа к своим заказам
– …везде, где нужно предоставить доступ к  
конфиденциальной информации
Как работает аутентификация
Пусти меня в мой Представься,
профиль незнакомец!
Я - ivanguy97 Чем докажешь?

Я - ivanguy97 Чем докажешь?
Мой пароль - Привет, ivanguy97.

lovehate97 Заходи!
Аутентификация и авторизация
Аутентификация это…
проверка подлинности предоставленного пользователем  

идентификатора (пара логин-пароль)
Аутентификация это…
проверка подлинности предоставленного пользователем  

идентификатора (пара логин-пароль)
Авторизация это…
процесс проверки и предоставления прав пользователю на  

выполнение определённого действия
Регистрация на сайте
создание аккаунта - это заполнение формы, где
пользователь указывает свои идентификаторы:
логин или email, а также способ подтверждения -
пароль
Обязательные поля регистрации
Логин igor89
Логин igor89
Логин – это имя пользователя на сайте.  

Логин должен быть уникальным.
Логин igor89

Пароль ********
Логин igor89

Пароль – это секретная комбинация, известная только

пользователю. Пароль можно генерировать за пользователя
и отправлять его письмом. 
Логин igor89


E-mail igorek_89@rambler.ru
Логин igor89


E-mail igorek_89@rambler.ru
Адрес электронной почты пользователя тоже должен быть

уникальным. Он понадобится для восстановления пароля. 
Пароль от аккаунта
секретная фраза - способ пользователю доказать,
что он тот кем он представляется
Правильное хранение паролей
Логины и пароли пользователей хранятся на сервере  
и используются для аутентификации.
Пароли нельзя хранить в открытом виде, потому что при  

краже информации из БД данные всех пользователей  
становятся скомпрометированными.
Пароли нельзя хранить в открытом виде, потому что при  

краже информации из БД данные всех пользователей  
становятся скомпрометированными.
Вместо паролей следует хранить их отпечатки - хэши.

Что такое отпечаток пароля
Отпечаток (хэш) – это результат работы функции хэширования,  
которая вернёт для любого значения строку фиксированной длины.
Отпечаток (хэш) – это результат работы функции хэширования,  
которая вернёт для любого значения строку фиксированной длины.
Провести обратную операцию (получить из отпечатка оригинальную  

строку) невозможно.
«гладиолус»
«гладиолус»
Хэширующая функция md5

«гладиолус» «b328e34e4484a2f9fc194388ebdc5790»
Хэширующая функция md5

Хранение и проверка паролей
1 Получить хэш от пароля пользователя и сохранить его

2 При аутентификации запросить пароль

Получить хэш от полученного пароля и сравнить его с

3 сохраненным хэшом в п.1
Получить хэш от полученного пароля и сравнить его с

3 сохраненным хэшом в п.1
Если две строки совпадают, значит пароль введен

4 правильно
Как сохранить пароль пользователя
abc123
*******
Пользователь придумывает себе пароль и

отправляет его через форму
abc123
abc123
*******
$2y$10$Oqvs…
В PHP-сценарии мы получаем этот пароль и

преобразуем его в "хэш"
abc123
abc123
******* id email password

42 igorek@rambler.ru $2y$10…
$2y$10$Oqvs… 41 anna@bk.ru $2y$28…
Получившийся хэш пароля сохраняется в базе данных

вместе с остальной информацией пользователя
Хэширование и проверка пароля в PHP
$passwordHash = password_hash('secret-password', PASSWORD_DEFAULT); 

 
if (password_verify('bad-password', $passwordHash)) {  

// корректный пароль 
} else {  
// неверный пароль 
}
получает хэш пароля

 

} else {  
}
получает хэш пароля

 
сравнивает введенный пароль с хэшом

} else {  
}
Обзор всего процесса
Аутентификация и авторизация на сайте
юзер
форма входа
юзер показать 
форму
валидация
юзер показать 
форму
валидация
юзер показать  проверка 

форму пароля
валидация
юзер показать  проверка  открыть 

форму пароля сессию
валидация

форма входа закрытая страница

проверка наличия сессии

валидация



валидация
юзер показать  проверка  открыть  разрешить 

форму пароля сессию доступ


валидация
юзер показать  проверка  открыть  разрешить  показать

форму пароля сессию доступ ошибку 403

Начало
Показать форму входа
Получить данные
из формы
Преобразовать пароль в хэш
Поискать в данных пользователя с

этим email и хэшом
Да Нет
Нашли?
Открыть сессию Показать форму с ошибками
Редирект на главную
Проверка пароля пользователя
1. Найти пользователя (в массиве или из базы данных) 
по переданному логину/email
2. Захешировать переданный пароль

3. Сравнить сохраненный хэш пользователя с хэшем 

из п. 2
3. Сравнить сохраненный хэш пользователя с хэшем 

из п. 2
4. Открыть сессию, если хэши совпадают

Ограничение доступа к страницам
?
Как запретить анонимным
пользователям посещать некоторые
страницы?
?
страницы?
! Сохранять данные о пользователя в

сессию, а затем проверять её.
?
страницы?
! Сохранять данные о пользователя в

сессию, а затем проверять её.
После успешной аутентификации пользователя будем 

сохранять информацию о нем в $_SESSION
Как запретить доступ к странице
Как запретить анонимному пользователю посещать  
закрытые страницы:
• принудительно перенаправлять на главную

• ставить код ответа 403 и показывать ошибку
Перенаправление с закрытой страницы
<?php
if (!isset($_SESSION['user'])) {
header("Location: /");
exit();
}
Скрытие информации со страницы
В зависимости от статуса пользователя (залогинен или нет)
можно показывать разную информацию на странице
Анонимный пользователь
• показать ссылку входа 

и регистрации
• скрывать ссылку на  
добавление гифки
• скрывать блок комментариев 
на странице просмотра
Анонимный пользователь Залогиненный пользователь
• показать ссылку входа  • показать ссылку на выход 

и регистрации и профиль
• скрывать ссылку на   • показывать кнопки «избранное» 
добавление гифки и «нравится»
• скрывать блок комментариев  • показать блок комментариев 
на странице просмотра на странице просмотра
<?php if (!isset($_SESSION['user'])): ?> 
<nav class="navigation __links"> 
<a href="/signup">Регистрация </a>  
<a href="/signin">Вход для своих </a> 
</nav> 
<?php else: ?> 
<nav class="navigation __links">  
<a href="">< ?=strip_tags($_SESSION['user']['name']); ?> </a>  
<a href="/favorites">Избранное </a>  
<a href="/logout">Выход </a>  
</nav> 
<?php endif; ?>
</nav> 
<?php else: ?> 
</nav> 
<?php endif; ?>
</nav> 
<?php else: ?> 
</nav> 
<?php endif; ?>
Как разлогинить пользователя
Для залогиненного пользователя обязательно должна быть  
возможность завершить сессию - «выйти с сайта».
Отдельный сценарий, который:

• очищает сессию
• переадресует на другую  
страницу
Отдельный сценарий, который:

• очищает сессию
• переадресует на другую  
страницу
<?php 
unset($_SESSION['user']); 
 
header("Location: /index.php");
Восстановление пароля
возможность пользователю восстановить забытый
пароль, используя свой e-mail
Как работает восстановление пароля
Юзер указывает свой email

Отправляем ему ссылку со  

специальным кодом

Юзер переходит по ссылке на страницу с

формой для ввода нового пароля


Новый пароль хэшируется и сохраняется

для юзера


Новый пароль хэшируется и сохраняется

для юзера
Юзер логинится на сайт с новым паролем

Lesson 05

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Lesson 05

Загружено:

Авторское право:

Доступные форматы

Раздел 5:

– Проблема хранения состояния в вебе

– Проблема хранения состояния в вебе

– Проблема хранения состояния в вебе

– Проблема хранения состояния в вебе

– Проблема хранения состояния в вебе

– Проблема хранения состояния в вебе

Браузер отсылает HTTP запрос на сервер

Браузер отсылает HTTP запрос на сервер

Браузер получает от сервера ответ и

На странице просмотра добавить

На странице просмотра добавить Видеть все избранные гифки

Браузер будет хранить эту информацию и

– Поддерживаются всеми браузерами

– Поддерживаются всеми браузерами

– Поддерживаются всеми браузерами

– Поддерживаются всеми браузерами

– Поддерживаются всеми браузерами

1 Браузер отсылает HTTP запрос на сервер

1 Браузер отсылает HTTP запрос на сервер

Чтобы «запомнить» пользователя, сервер отсылает

1 Браузер отсылает HTTP запрос на сервер

Чтобы «запомнить» пользователя, сервер отсылает

3 Браузер сохраняет cookies в своем хранилище

Браузер отсылает HTTP запрос вместе с куками на

Браузер отсылает HTTP запрос вместе с куками на

Сервер узнает пользователя и возвращает ему

Добавить в ответ новый

Добавить в ответ новый

gifs_fav = [15, 24, 56]

Добавить в ответ новый

gifs_fav = [15, 24, 56]

Добавить в ответ новый

gifs_fav = [15, 24, 56]

Извлечь куку из заголовков и

Браузер находит у себя все

Браузер находит у себя все gifs_fav = [15, 24, 56]

Браузер находит у себя все gifs_fav = [15, 24, 56]

Браузер находит у себя все gifs_fav = [15, 24, 56]

PHP-сценарий получает куку из

Заголовок ответа для установки cookie

Заголовок ответа для установки cookie

Имя куки. Строка без спецсимволов.

Заголовок ответа для установки cookie

Полезная информация. Значение куки

Заголовок ответа для установки cookie

Время жизни куки. При наступлении этой

Заголовок ответа для установки cookie

Путь на сайте, для которого будет доступна кука.

Заголовок ответа для установки cookie

Домен, для которого устанавливается кука.

Заголовок запроса для передачи cookie

Cookie: NAME1=STRING1; NAME2=STRING2 ...

Заголовок запроса для передачи cookie

Cookie: NAME1=STRING1; NAME2=STRING2 ...

• В одном заголовке передаются все куки для этого сайта

• Строки вида «ключ-значение»

• Разделяются точкой с запятой

Для хранения счетчика между посещениями

• setcookie($name, $value, $expire, $path)

• setcookie($name, $value, $expire, $path)

Все куки PHP автоматически помещает

устанавливаем дату из прошлого

На странице просмотра добавить  

На странице просмотра добавить   Видеть все избранные гифки  

Имя куки. Строка без спецсимволов. 

Полезная информация. Значение куки 

Домен, для которого устанавливается кука. 

Для хранения счетчика между посещениями  

Все куки PHP автоматически помещает  

bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [,  

bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [,  

• Самый универсальный и стандартный  

• Самый универсальный и стандартный   • Ограничения по формату и  

Сессионная кука – как номерок в гардеробе:  

При окончании работы скрипта PHP автоматически  

При окончании работы скрипта PHP автоматически  

проверка подлинности предоставленного пользователем  

проверка подлинности предоставленного пользователем  

процесс проверки и предоставления прав пользователю на  

Логин – это имя пользователя на сайте.  

Логин – это имя пользователя на сайте.  

Логин – это имя пользователя на сайте.  

Логин – это имя пользователя на сайте.  

Логин – это имя пользователя на сайте.  

Пароли нельзя хранить в открытом виде, потому что при  

Пароли нельзя хранить в открытом виде, потому что при  

Провести обратную операцию (получить из отпечатка оригинальную  

$passwordHash = password_hash('secret-password', PASSWORD_DEFAULT); 

if (password_verify('bad-password', $passwordHash)) {  