Discussion :

[moimp]

Bonjour,

Je galère chaque fois que je veux gérer des utilisateurs. J'aimerais créer un ensemble de classes qui me permettraient de les créer en fonction

1. des éléments à mettre en bdd
2. du créateur de l'utilisateur (webmestre ou utilisateur lui-même)
3. des caractéristiques du mot de passe (complexité, hachage)
4. La génération d'un mot de passe provisoire
5. L'obligation ou non de modifier le mot de passe à la première utilisation ou après un certain temps

Le but de cet ensemble de classes est de gérer:

1. la création de l'utilisateur et son enregistrement en base de données
2. l'envoi d'un mail avec un mot de passe provisoire ou définitif
3. la perte d'identifiant ou de mot de passe
4. le changement de mot de passe

Mais voilà, je navigue dans le flou sur la façon de m'y prendre et la composition des classes.
Est-ce que quelqu'un pourrait me donner quelques conseils pour m'orienter?
Est-ce que ce sujet pourrait intéresser d'autres personnes?

[rawsrc]

Salut,

Il n'y a pas de soluce miracle pour le design

1. des éléments à mettre en bdd

Persistance des données, utilisation d'une couche d'accès aux données ?

1. du créateur de l'utilisateur (webmestre ou utilisateur lui-même)

Peut-être utiliser une récursivité de classe ? Genre qui a créé qui...

1. des caractéristiques du mot de passe (complexité, hachage)

Regarder le hachage ne sert à rien du moment que tu n'utilises pas d'algorithme compromis à ce jour (MD5 par exemple)
La vérification de la complexité, c'est juste une suite de simples fonctions regex.

1. La génération d'un mot de passe provisoire
2. L'obligation ou non de modifier le mot de passe à la première utilisation ou après un certain temps

Cela va dépendre s'il est à usage unique ou pas, si oui un simple générateur suffira sinon il faut passer par la bibliothèque Sodium (PHP 7.2+)

Après, tu ne dois pas oublier que pour les accès aux modifications de dépannage du style, j'ai oublié mon mot de passe, je change mon mot de passe, tu devras avoir des jetons de sécurité dans les URL et il faut aussi penser à prévoir la gestion des routes pour ce genre de manips.
Bref, cette problématique est loin d'être triviale.

Crayon, papier et schéma mon vieux

[moimp]

Bonjour,

J'avais trouvé un tuto qui expliquait les principes mais je n'arrive pas à le retrouver. Je pense que la page n'existe plus.
Comment gérer le lien provisoire de validation de l'inscription?
Je suis pommé.

[rawsrc]

tu peux partir du principe que l'adresse mail doit être unique dans ta base donc tu peux générer une url très spécifique avec.
A l'enregistrement du nouvel utilisateur, tu haches l'adresse email, tu passes l'id de la base de données et tu génères un jeton de sécurité unique
par exemple un truc du genre :

/validate.php?id=145&mail=ce7ca50e5278f4b796e1a86171f91d1484b16da8d0847c0b974f952fdfff2c9bd15610596eecfdf5f592210e1d1d1ed2bf7b54777ffb85e21b732de28dee13a8&token=kiITv4OS0UVZb40RByRoJufcNjTyJ0UUFBLKDLL1DWt9V

Ainsi ton script de validation devra trouver un enregistrement dans ta table user répondant au filtre :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
WHERE id = 145 
  AND hash_mail = 'ce7ca50e5278f4b796e1a86171f91d1484b16da8d0847c0b974f952fdfff2c9bd15610596eecfdf5f592210e1d1d1ed2bf7b54777ffb85e21b732de28dee13a'
  AND token = 'kiITv4OS0UVZb40RByRoJufcNjTyJ0UUFBLKDLL1DWt9V'

A toi d'imaginer un moyen quasi increvable de valider une inscription.

De mon côte je ne sors jamais par exemple les id en clair, chaque fois qu'un id est affiché, j'ai une classe qui l'encrypte de manière unique à chaque utilisateur ainsi il est impossible de partager les liens.

[moimp]

Bonjour,
J'ai écrit un code qui fonctionne mais n'est pas sécurisé.
Dans ton exemple, je suppose que /validate.php? est un exemple de nom de fichier.
Ensuite, est-ce qu'il est gênant que le nom de fichier de mon site figure dans le lien car je ne vois pas comment, s'il est haché le lien pourrait fonctionner.

[rawsrc]

Poste voir ton code, stp. Comme ça je saurai de quoi on parle