Единая авторизация проектов на LS

Блог им. yuran
Уважаемые друзья, есть идея сделать единую авторизацию на сайтах на LS. Прежде всего это должно быть интересно тем, у кого не один а несколько сайтов. Цена вопроса — 13000 р. Я предлагаю как в старые добрые времена организовать коллективный заказ (складчину). Грубо говоря наберем 13 человек — значит скинемся по 1 тыс., наберем 26 человек — значит по 500 р. В последствии плагин не будет бесплатным, а будет в каталоге. Кого заинтересовало — прошу отмечаться в комментариях — типа «Участвую».

69 комментариев

avatar
Я участвую. Хочу лишь добавить, что все участвующие в складчине получат плагин бесплатно, а потом плагин, как указал Юрий в топике, будет в каталоге (не бесплатно).
avatar
главное — кто возьмется за реализацию? это не абы что.
avatar
С Максом обговорили как бе.
avatar
дя? в топике ни слова об этом (что на основе текущей авторизации лс сообщества)
avatar
Мой косяк, прошу простить.
avatar
Бред полный.
avatar
LS-сепаратист? :)
avatar
Я за!
avatar
Тоже интересно.
avatar
А детали ТЗ каковы?
avatar
Детали ТЗ не обсуждали с ort, за основу принята система авторизации, которая используется здесь на сайте. Например авторизовавшись в каталоге тут catalog.livestreetcms.com/ мы одновременно происходит авторизация и тут на livestreet.ru Если есть какие то пожелания думаю можно с Максимом обсудить это. Людей бы набрать хотя бы с десяток:)
avatar
Но тут не происходит «одновременной авторизации». И в каталоге и на сайте необходимо авторизоваться отдельно, другой вопрос, что логин и пароль одинаковы. Плюс до кучи в реальном мире у владельцев сайтов могут быть разные версии сайтов, разный набор плагинов авторизации (например вход через социальные сети на одном сайте или через плагины netlanc или extravert на другом), юзеры могут быть под разными логинами и паролями и т.д. Как-то смущает меня названная цена без наличия ТЗ. Это или изрядно завышенная цена (чтоб отмазаться) или наоборот. )))
avatar
Но тут не происходит «одновременной авторизации». И в каталоге и на сайте необходимо авторизоваться отдельно
Ну как же не происходит? Я разлогиниваюсь, потом авторизуюсь например в каталоге, потом захожу на livestreet.ru — просто обновляю страницу и наблюдаю справа вверху свой профиль… Может я что не понял?
avatar
Я вот тут авторизован, перехожу по ссылке в каталог — фиг вам. Может это я чего-то не понял. ))
avatar
Все правильно у меня также, авторизация единая.
avatar
Ну, сути не меняет — без ТЗ непонятно, что затевается.
avatar
присоединяюсь
avatar
+1, при условии что нормально будет работать с регистрациями\логинами через соцсети
avatar
А зачем нужна единая система? Многие проекты никак не связаны с друг с другом.
avatar
Ну возможно есть проекты, которые как то связаны друг с другом, может какие то региональные, может игровые или еще какие нибудь родственные по тематике и созданные одним человеком. Я для этого и создал топик, чтобы выяснить насколько это востребовано.
avatar
может я чего-то не понимаю, но не достаточно ли просто общей базы юзеров?
avatar
Немного не понял, о какой авторизации идет речь? Можно расписать подробнее, чтобы можно было составить норм ТЗ.
avatar
Кроме того, некоторые админы скрывают использование того или иного движка, чтобы лишний раз не светить возможными уязвимостями или банально быть уникальными. Для юзера проще сделать глобальнее. Единую систему регистрации на Drupal, Joomla, Wordpress и т.д. Т.е. если человек зареган на каком-то популярном движке или в соц. сети, то авторизация по LS происходит мгновенно. Правда сомневаюсь, что это вопрос 13 штук рублей))
avatar
Лучше плагин loginza поставить и топик закрыть, идея реально тупая.
avatar
Для хакера не проблема глянуть исходный код и понять что эта за система. Сразу будет понятно что это. Да и кто скрывает? У меня все копирайты стоят. Ниразу нечего никто не ломанул. Тут главное пароли ставить нормальные и не разрешать html и javascript на страницах сайта пользователям.

LiveStreet вообще кто нибудь ломал? Про Drupal, Joomla и Wordpress слышал давно что были.

В единой системе будет огромный минус. Если угонят БД единой авторизации все сайты будут взломаны. т.к пароли в базе LS должным образом не шифруются. Уже давно не проблема расшифровать md5.
avatar
Wordpress сейчас ломают как нех, только до БД не добраться.
avatar
1. подбор пароля и взлом т.е получение доступа за счёт уязвимости кода это разные вещи
2. сейчас массовые подборы паролей, а вот про взлом ничего не слышно.

Меняете адрес админки собственно и всё.
avatar
Один мой знакомый засечет уязвимости в самописном движке своего недруга угнал доступ к БД. Слил базу и расхэшировал пароль админа. Это разве не взлом?
avatar
вообщето речь шла про WP а не про «самописном движке|
avatar
Да понятно, что не проблема узнать движок. Можно много чего узнать. Но смысл «светить» используемыми технологиями? Подобная информация подлежит скрытию, а копирайты снимаются по договоренности и оплате лицензий.
avatar
кстати 13 штук хватит чтоб адаптировать плагин loginza под последнюю версию LS
avatar
я в своё время создавал темку о том, как к LS прикрутить openid провайдер. собственно и прикрутил частично (через отдельный файл паролей) и пользую для собственных нужд :) м.б. имеет смысл посмотреть в эту сторону?
avatar
Пора расстроить глупых людей:)
Почему нельзя создать единую авторизацию на LS
Начнем с самого начала, дело в том что данные пользователя хранятся в Базе данных, если она единая значит БД для всех одно. Но это еще пол беды, база данных должна работать с другими базами данных кто захочет ей воспользоватся, а если вы админ то это не чего не значит ибо админ тот кто управляет базай данных пользователя. Без БД вы не сможете сделать не чего с вашими пользователями которые типо общаются на вашем сайте, А самое интересное в этом то, что у вас должно быть две базы пользователей, первая это ваша, где вы админ и вторая единая база пользователей, о которой мы говорим. Как эти две БД будут совмещаться вообще без понятия, но мы знаем что не ваша бд не должна сливаться с чужой, если два пользователя авторизуются с одним именем, произойдет сбой.

Кароче идея изначально тупая как я сказал раньше, я не понимаю о чем вы думаете.
avatar
Вот ты тут «самый умный», разлогинься здесь, потом выполни вход, произойдет переход на адрес passport.livestreetcms.com/login/ там по русски вверху написано LiveStreet Passport
Единая система авторизации для проектов LiveStreet CMS И что ты тут умничаешь про пользователей, про базы данных — непонятно. Наверное Ort лучше знает, что это все реализуемо и работает здесь, и согласился доработать их функционал для любых других проектов на LS. Проблема только в том, что мало кого интересует этот функционал. А идея не тупая как ты говоришь, хотя бы потому что работает здесь.
avatar
Если вы создадите такую систему, я поржу как она рухнет. У вас прототип хоть есть?
языком чесать любой может, а на деле сделать лишь единицы.
Вот вы yuran (без обид), вы не программист, вот вы сказали Ort лучше знает, знает что?

Или не перенаправлять, а действовать с помощью запросов (REST, RPC) как действуют ВКонтакте и Facebook, например. Т.е. при логине выдавать уникальный токен, которым в дальнейшем и «подписывать» все операции пользователя.
Это плохой вариант для такой идеи.
avatar
Вы невнимательно читаете:) Выше я написал что
Наверное Ort лучше знает, что это все реализуемо и работает здесь, и согласился доработать их функционал для любых других проектов на LS
Я же не говорил, что именно я это реализую. А то что Ort программист и он заявил мне, что такая возможность есть — вам этого мало? Зачем вы что то доказываете мне и остальным. Я всего лишь создал топик для оценки возможности коллективного заказа. Прочитав ваши 80 комментариев на этом сайте я не нашел признаков того, что вы программист:) Тоже без обид:)
avatar
Это при поверхностном взгляде на возможность единой авторизации. Если капнуть глубже, то для реализации потребуется один дополнительный сервер с БД, хранящей информацию о пользователях. Этот сервер и будет обслуживать все остальные сайты. Собственно, для реализации потребуется на всех сайтах перекрыть стандартные методы входа, выхода и изменения данных и перенаправлять их на этот дополнительный сервер. Или не перенаправлять, а действовать с помощью запросов (REST, RPC) как действуют ВКонтакте и Facebook, например. Т.е. при логине выдавать уникальный токен, которым в дальнейшем и «подписывать» все операции пользователя.
avatar
Подписываюсь, готов скинутся.
avatar
Я не понимаю, на что скидываемся?

Будет единая авторизация только на моих сайтах или вообще на всех сайтах с этим плагином?
Если первое я еще понимаю и принимаю, то второе вообще бред. Зачем это нужно?
avatar
нет, только с твоими сайтами, а если по другому то смысла нет.
avatar
Если цена будет до 1 килорубля и нормальное описание планируемого функционала, то подписываюсь, да.
avatar
Давно интересует эта возможность, много искал как это сделать но все варианты не подошли, готов скинуться если будет реализовано как у Максима здесь на проекте.

Нужно сразу обсудить следующие моменты.
1. Это должны быть проекты на едином сервере.(Это я думаю обсуждать не стоит так как если на разных будет много уязвимостей на промежуточных этапах авторизации.)
2. Это должна быть одна база данных через которую работают все сайты которые при необходимости должны быть авторизованы или же разные базы данных но единая промежуточная для авторизации. (мне в принципе подошёл бы и первый вариант с единой базой данных для всех проектов, но думаю что у большинства кому нужен такой плагин, всё таки у каждого проекта(домена) своя база данных.)
3. Страница с авторизацией будет только на одном из проектов или же будет на каждом.

Добавляйте вопросы и пожелания что бы сделать приблизительное T3 и обсудить желаемый функционал.
avatar
Судя по комментариям у многих нет четкого понимания, что это и как это.
Функционал аналогичен текущему на внутренних проектах LS, а именно:
  • Авторизация работает между LS сайтами одного владельца
  • У каждого сайта своя БД
  • Создается дополнительный сайт — passport, со своей единой БД пользователей
  • Регистрация/авторизация происходит исключительно на passport, далее редирект на нужный сайт
  • При регистрации создается аккаунт в единой БД и при первом заходе на другой сайт происходит автоматическая регистрация аккаунта на этом сайте
  • Далее при повторной авторизации на passport происходит автоматическая авторизация на всех сайтах, где есть аккаунт
  • Логины и емайлы на всех сайтах будут совпадать
  • Идеальный вариант — запуск всех сайтов сразу с passport'ом
  • Объединение в одну авторизацию уже действующих разных сайтов влечет за собой процесс объединения БД. Этот процесс не тривиальный и в большинстве случаев потребует ручной работы.
avatar
Отлично Макс, а то у многих комментаторов абсолютно иное представление о чем идет речь.
avatar
Если пользователь захочет отключить единую авторизацию, все пользователи которые авторизовались на его сайты, будут сохранены в базу данных это пользователя?
Если да, то все пароли можно будет посмотреть в своей базе данных, А если нет, то единая авторизация станет навечно прилеплена к LS. Чуть не забыл, как будут добавляться сила и рейтинг пользователя, и если я админ сайта, я могу создать пользователя где я накатаю ему рейтинг и силу +1000.
avatar
Пора расстроить глупых людей:)
Попробуйте сами ответить на эти вопросы, ну чисто логически, и все станет понятно. И конечно еще раз перечитать livestreet.ru/blog/16980.html#comment272963
avatar
Я изначально понимал к чему идет и сейчас понимаю, будет отдельная БД и принадлежать она будет вам, пользователь который входит в аккаунт, будет по сути подключатся к базе данных LS. Но самое интересное начинается именно с момента входа, как будут передаваться данные пользователя, или их вообще не будет передавать БД. Если передаваться не чего не будет, то смысла в такой системе нету вообще, все равно на каждом новом сайте, будет новый рейтинг, пустая информация о пользователе и даже картинки не будет.
А если будет передаваться текст или хоть что то, то можно залить код к пользователю БД и через код пользователя взламывать все сайты LS.
avatar
Что ты несешь вообще? Попробуй отключить менторский тон и вдумчиво заново прочитать топик, в особенности описываемый функционал.
avatar
Слушай evil хватит уже нести всякий бред, если тебе не интересна эта тема то просто не пиши здесь, тем более если ты не знаешь о чём пишешь.!!!
Ты бы с начало внимательно прочитал что написал Максим и немного попробовал вникнуть в суть а потом отписывался, а то тебя здесь скоро за ненормального будут считать.:)
PS: У меня такое ощущение что ты решил побить рекорд по отрицательному рейтингу на сайте.:)
avatar
Ладно все завязываю, скучные вы. :)
могли бы и по кручи регистрацию делать
Единая авторизация всех проектов на LS — это значит любой пользователь, который хоть один раз зарегистрировался на движке LS моментом получает этот аккаунт на всех сайтах LS/
avatar
Добавлю еще важный момент — речь идет о стандартных LS сайтах, без учета влияние возможных плагинов на процедуру регистрации/авторизации. Такие случаи нужно рассматривать индивидуально.
avatar
А об интеграции passport-домена с плагином autoopenid обсуждалось? Вероятно, это будет очень полезно.
avatar
Максим у нас возникает сразу вопрос, а можно ли купить этот плагин с этим функционалом?
avatar
Уважаемые друзья, есть идея сделать единую авторизацию на сайтах на LS. Прежде всего это должно быть интересно тем, у кого не один а несколько сайтов. Цена вопроса — 13000 р. Я предлагаю как в старые добрые времена организовать коллективный заказ (складчину). Грубо говоря наберем 13 человек — значит скинемся по 1 тыс., наберем 26 человек — значит по 500 р. В последствии плагин не будет бесплатным, а будет в каталоге. Кого заинтересовало — прошу отмечаться в комментариях — типа «Участвую».
avatar
Я это читал и понимаю, мне хотелось бы узнать стоимость такого плагина, скорее всего он будет не как коллективный заказ стоить а именно продаваться в официальном каталоги, вот мне и интересно сколько он будет там стоить.
avatar
Перечитал, не понял эта сумма была и озвучена Максимом или же кто то ещё хотел взяться за реализацию?
avatar
Скорее всего Максимом.
Выше описано, автор топика говорит что ТЗ не обсуждалось, потому что плагин, подразумевает тоже самое что и тут.
avatar
Максим, у меня при авторизации тут не появляется авторизация в каталоге, там приходится отдельно заходить. Это нормально или какой-то сбой?
avatar
это не нормально
проверил у себя — все ок

для проверки нужно сделать так:
1. разлогиниться на любом из сайтов
2. зайти на другие сайты и убедиться, что там пользователь разлогинен
3. авторизоваться на livestreet.ru
4. зайти на другие сайты и проверить результат

Если не сработает, то нужна информация о браузере
avatar
Кеш браузера заодно почистил. Результат: авторизация появилась везде, кроме livestreetcms.ru/ (но не знаю там должна она быть или нет?).
avatar
там не должно
avatar
Итак я насчитал пока 8 человек. Не густо пока.
avatar
по 1 625 с каждого, я думаю подождать так 1-2 недели и брать.
avatar
мое мнение — нет нормального ТЗ, т.е. его вообще нет…
avatar
А что же тогда описанное Максимом livestreet.ru/blog/16980.html#comment272963 да это не T3 а как я понял уже реализованный функционал.:)
avatar
+1 Очень нужен функционал.
Я в теме!
avatar
Не нашло должной поддержки.
avatar
Я так думаю, нужно сначала обсудить условия реализации данного функционала с ort и заново организовать складчину.
avatar
Плагин доступен в каталоге — livestreet.ru/blog/addons/17616.html
  • ort
  • 0
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.