Manter o usuário logado

Isso depende de projeto para projeto...

Depende de quais dados significam um usuário logado dentro de uma sessão

No genérico vamos supor que o usuário logou.... Então além da session eu registro um cookie (esse permanece salvo nos arquivos temporários do browser que ele esteja usando)

Então existe ambos "usuário logado"... Se ele fechar o browser a session some mas o cookie permanece.

O "pulo do gato" seria no caso comparar se o cookie existe e a sessão não.

Se o cookie existir e a session não é que o o usuário deve permanecer logado logo então no cookie devo armazenar alguma informação que identifique esse usuário.

Vejamos (isso seria feito antes de tudo digamos no index.php):

<?php
if (isset($_COOKIE['usuario']) && !isset($_SESSION['usuario'])) {
 // Aqui você faz a coisa acontecer
}

	Nesse caso o cookie "usuario" existe e a session não, ou seja eu tenho a informação do cookie então vamos supor que eu busque esse usuário no banco de dados e defina sua session com essa informação contida no cookie.

	Como isso é realizado antes de tudo, ao usuário acessar automaticamente será logado, suas informações carregadas o restante do código... "como vem depois" simplesmente identifica o usuário.

	 

	Mas tenha cuidado um cookie até mesmo uma session são salvas na máquina do usuário.

	Por exemplo "como 99% usam uma coluna ID no bando" se o administrador do sistema é (id 1) e através dessa informação esse usuário tem acesso a tudo (só estou exemplificando)....

	Nada impede que alguém mau intencionado crie uma session ou um cookie em sua máquina com essa informação.... Assim logando automaticamente quando acessar como se fosse o administrador.

	Mas daí entramos no caso de autentificação de 2...3...4...5... fatores e por aí vai e isso é outra conversa.

Agora eu intendi. Veio-me uma dúvida, no meu Model eu crio uma verificação retornando verdadeiro e falso e no Controller eu criei um método estático assim eu posso chama-lo na pagina de login antes do código html verificando se o cookie existe, mas como eu posso acessar o método estático se o não posso usar o this em métodos estáticos.

Controlador :

<?php

class Usuarios extends Controller{

    public function __construct()
    {
        $this->usuarioModel= $this->model("Usuario");
    }

    public static function acessoRapido($acesso){
        if($this->checarAcesso($acesso)){ //aqui tem um erro
            URL::redirecionar('paginas/usuario/home');
        }else{
            URL::redirecionar('paginas/usuario/login');
        }
    }

  
    
}

	 

	Model:

 public function checarAcesso($acesso){
        $this->db->query("SELECT * FROM admins where acesso = :acesso");
        $this->db->bind("acesso", $acesso);
        if($this->db->resultado()):
            return true;
        else:
            return false;
        endif;
    }

	 

	Página Login:

<?php

Sessao::acessoRapido($_COOKIE['acesso']);

?>

Bem, eu desconheço uma forma de herdar um objeto de uma classe para ser usado em um método estático.

Para falar a verdade nunca nem vi a necessidade.

Já o contrário é muito comum de se ver....

Se fosse comigo e fosse uma necessidade indispensável eu optaria por abandonar a herança e apenas criar um objeto para a classe mãe instanciando quando necessário.

Mais ou menos nesse conceito:

Spoiler

<?php

class ClasseA {

 private $atributoMae;

 public function metodoMae($param) {
 $this->atributoMae = $param;
 return ($this->atributoMae);
 }

}

// class ClasseB extends ClasseA <<< Abandonando o conceito de herança
class ClasseB {

 private static $atributoFilha;
 private static $vaiParaMae;

 private static function acessaMae() {
 $mae = new ClasseA();
 self::$atributoFilha = $mae->metodoMae(self::$vaiParaMae);
 }

 public static function metodoFilha($param) {
 self::$vaiParaMae = $param;
 self::acessaMae();
 return (self::$atributoFilha);
 }

}

echo ClasseB::metodoFilha('Olá mundo');

  

	Em todo caso se a confusão chegasse a esse ponto com certeza eu estaria revendo a arquitetura das classes para não está fugindo da ideia de orientação a objeto.

Poh cara, obrigado pela ajuda, mas infelizmente não consegui encontrar uma solução para isso já busquei em vários sites e nada, acho que vou ter que desistir de introduzir essa funcionalidade no site.

Que nada cara é cedo para desistir...

-
Ao logar você cria a session e o cokkie

-
Caso ele entre novamente, checa se o cookie existe e a session não

-
Se entramos nessa condicional chamamos o método checarAcesso

-
Se ele retornar verdadeiro, criamos a sessão e pronto o usuário estará logado

Veja esse meu projeto como eu aplico essa questão de forma bem simples

https://github.com/Spell-Master/source-map/blob/master/modules/actions/user/login_v.php#L66

https://github.com/Spell-Master/source-map/blob/master/system/class/helper/SmUser.php#L30

https://github.com/Spell-Master/source-map/blob/master/index.php#L21

Muito obrigado Omar~ eu consegui resolver o problema graças aos exemplos que você postou. Agora tenho algumas dúvidas de segurança. Quando o usuário vai fazer o cadastro eu automaticamente insiro um hash nele mas eu gostaria de saber se:

Toda vez que eu o usuário fizer login esse hash deve ser alterado para um novo?

O hash que eu estou gerendo e colocando no banco de dados é uniqid(rand()).md5(uniqid(rand(), true)).md5(microtime(true).mt_Rand())  gostaria de saber se ele é seguro ou se existe uma forma mais segura de hash.

Eu li algumas coisas sobre e hash e na geração deles resolvi não usar nenhum dado do usuário como id, e-mail ou senha para evitar possíveis problemas de segurança.

Bom, a minha questão lá de usar um hash foi apenas para não usar coluna id do usuário eu sim uma string contendo números e letras aleatória única para cada usuário, dessa forma futuramente posso usar o coluna ID no backend sem que um usuário jamais saiba o id de outro usuario, assim evitando falsificação de dados.

Então eu gero um hash só para cada usuário que uso no logar do seu ID para composição de dados no HTML.

>

3 horas atrás, Sapinn disse:

Toda vez que eu o usuário fizer login esse hash deve ser alterado para um novo?

Aí você estaria criando o token do login se recriar toda a vez, pode ser útil usando em cookie para uma autentificação de dois ou três fatores.

Vamos supor que o usuário A logou em um determinado IP`usando um sansung galaxy o token foi gerado como cookie e você registrou esse cookie e os dados no banco, se usuário B tentar roubar esse cookie e querer falsificar o login do usuário A, no entanto ele está vamos supor em um AMD Linux-Ubuntu além do IP incompatível logo você não deixa logar.

Então nesse caso não importa o roubo de cookies não importa a falsificação dos cookies, a única forma de usuário B entrar com o login de usuário A é através de seus dados de acesso como e-mail e senha.

>

3 horas atrás, Sapinn disse:

uniqid(rand()).md5(uniqid(rand(), true)).md5(microtime(true).mt_Rand())

A unica forma de gerar algo igual é 2 códigos serem processados na mesma fração de segundo, e nenhum servidor que eu saiba faz 2 coisas simultâneas, então eu acho seguro sim.

Entendi, vlw mais uma vez.