Ik ben deze week weer is begonnen met het programmeren in php, had het te druk.
Ben nu net begonnen met een programma gecombineerd met Visual Basic 2010 waarin jij je eigen classes in een overzicht hebt en je meteen kan zien hoe de verbanden lopen tussen classes etc.
Maar nu ben ik bezig met het login gedeelte, het ik zit hier met een probleem wat ik zelf eigenlijk wel belangrijk vind om daar jullie mening bij te hebben.
Want, ik wil het nu zo maken dat je bij het inloggen je Gebruikersnaam Wachtwoord en Email moet invullen en dat er op dat moment een email word gestuurd naar de Administrator die zo kan zien wie er probeert in te loggen en vervolgens moet aangeven. Of deze persoon mag inloggen of niet.
Wanneer de Administrator dan op nee drukt krijgt de persoon die een ticket heeft gestuurd om in te loggen een email dat hij geen toegang krijgt tot de rest.
Wanneer de Administrator dan op ja drukt krijgt de persoon een email gestuurd waarin een link zit waarmee deze persoon Automatisch inlogt en vervolgens gebruik kan maken van het systeem.(Deze link is vervolgens maar 1 uur geldig)
En als ik dit wil toepassen waar moet ik dan goed rekening mee houden ?
En moet er meer informatie naar de Administrator gestuurd worden zoals Ip adres ?
Ik neem aan dat dit maar eenmalig is?
En ga jij 24/7 achter je PC zitten wachten op emailtjes om te kijken of ze mogen inloggen?
Ik verwacht van niet: dus geautomatiseerd doen.
Of registreren en dan wachten op toestemming (dus mail naar admin >> admin keurt goed op website >> website verstuurt mail naar gebruiker), wat beter is.
Daarnaast is het tegenwoordig handiger als je de gebruikersnaam niet vraagt, maar gewoon alleen het emailadres (met wachtwoord).
Het is niet eenmalig.
Over dat 24/7 kijken of je mag inloggen heb ik aangepast ik ga denk ik 1x per maand van maken. Want het is voor iets nogal belangrijks en dus moet er wel toestemming voor zijn.
Ik heb het ook even aangepast en heb gebruikersnaam weggehaald ;)
Dus voordat iemand mag inloggen moet jij persoonlijk iedere keer toestemming geven.
Om wat voor gegevens/systeem gaat dat dan? De kluis van de Nederlandsche Bank of zo?
Iemand doet dus een verzoek of ze mogen inloggen: jij geeft zelf toestemming. Uiteraard moet men zijn ingelogd om toestemming te vragen?
Ik zou het zelf zo doen:
- iemand logt in met zijn emailadres en wachtwoord
- iemand wil dat (nog-betere-beveiligde-)systeem in en drukt ergens op een knop (iets als "Verzoek toegang tot XXX-systeem").
- PHP stuurt jou een mail met de gegevens van de ingelogde. Daarin staan 2 linkjes: 1 toestaan, 1 weigeren
- jij leest elke dag je mailbox wel 3x, dus zeg om de 8 uur kan je toestaan/weigeren
- zodra jij toestaat (danwel weigert) stuurt PHP de gebruiker een mail dat hij kan inloggen tot het XXX-systeem.
Even hypothetisch:
Ik wil om 7:38 inloggen op het XXX-systeem.
Ik log in en vraag om 7:39 toegang... er gaat een mail naar jou.
Jij leest om 13:48 je mailbox eens... en geeft mij toestemming.
Ik lees mijn mailbox pas weer om 16:54 (net voor het naar huis gaan) en zie dat ik toestemming heb. Maar dat doe ik niet vandaag, dus morgen kan ik (om half 8, als ik begin met werken) weer inloggen.
Resultaat: een dag vertraging.
Ik zou zelf dan eenmalig iemand wel of geen toestemming geven (uiteraard kan je het later intrekken). Eenmaal toegestaan mag diegene altijd inloggen.
Het is de bedoeling dat er 1x per maand een mail verificatie nodig is.
En ik ben in dit geval de administrator en heb altijd mijn mobiel aan en als ik een mail krijg krijg ik meteen een bericht. En ik heb het systeem ook zo gemaakt dat je alleen tussen 10 uur 's ochtends en 10 uur 's avonds kan inloggen.
Het is trouwens ook geen XXX website hoor ;)
Het systeem dat ik aan het maken ben krijg je toegang tussen alle classes van mijn website en je kan ze ook wijzigen en daarom wil ik het goed beveiligd hebben. En zelf kunnen zien wie er op welk moment is ingelogd ;)
Maar welke informatie kan ik dan het beste allemaal in de email versturen?
Naam/Gebruikersnaam/Email met een activatielink (id + een of andere hash) die de gebruiker toestemt voor bepaalde tijd in te loggen.
Je houdt dus in de database bij vanaf wanneer (en dus automatisch tot wanneer...) hij toegang heeft.
Als iemands tijd verlopen is en hij wilt inloggen laat je een nieuwe activatie-mail versturen.
