كيف نحفظ معلومات تسجيل المستخدم لفترة طويلة وبشكل آمن

إن معلومات تسجيل الدخول في أغلب المواقع هي اسم المستخدم (غالبا حقل البريد الالكتروني) وكلمة السر أي username و password.

ويتم حفظهم في قاعدة البيانات في حقول لجدول المستخدمين حيث يتم حفظ جميع البيانات.

ابحث عن قواعد بيانات MySQL و تعلمها حيث انها تعمل بلغة البرمجة SQL، ويمكنك استخدامها مباشرة، فهي مضمنة في أي مخدم ويب محلي للتدريب مثل XAMPP أو WAMP وغيرهم.

بتاريخ 3 دقائق مضت قال Wael Aljamal:

إن معلومات تسجيل الدخول في أغلب المواقع هي اسم المستخدم (غالبا حقل البريد الالكتروني) وكلمة السر أي username و password.

ويتم حفظهم في قاعدة البيانات في حقول لجدول المستخدمين حيث يتم حفظ جميع البيانات.

ابحث عن قواعد بيانات MySQL و تعلمها حيث انها تعمل بلغة البرمجة SQL، ويمكنك استخدامها مباشرة، فهي مضمنة في أي مخدم ويب محلي للتدريب مثل XAMPP أو WAMP وغيرهم.

اخي لم اكن اقصد ذلك، لا اعرف كيف اشرح لك الامر، كان قصدي الاحتفاظ بمعلومات المستهدم لفترة اطول، انا حاليا استخدم السيشن او الجلسه ولكن هذه تختفي بمجرد الخروج فتره من الوقت من المتصفح او اغلاقه، لذلك يجب على ابمستخدم ان يقوم بعملية تسجيل الد٨ول كل مرة يزور الموقع، كيف نجعله لمرة واحده يقوم بتسجيل الدخول، هنا يمكن استخدام الكوكيز ولكن هذه خطره ويمكن اختراقها، هل يوجد طريقه غيرها امنه، وكيف تقوم هذه المواقع مثل حسوب بحفظ تسجيل دخول المستخدم، هل يستخدمون الكوكيز او هل ٧ناك طريقه اخرى 

كما قال المدرب وائل, فلذلك يمكنك إنشاء جدول لحفظ بيانات المستخدمين وتكون تركيبة الجدول كما في الشكل التالي 

CREATE TABLE `users` (
  `id` bigint(20) UNSIGNED NOT NULL,
  `name` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `email` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `password` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

فلاحظ أنه نريد تخزين اسم المستخدم و البريد الألكتروني الخاص به و كلمة المرور له, و يمكنك إنشاء نموذج إدخال بلغة HTML  بهذا الشكل 

<form method="POST" action="register.php">
  <div class="form-group ">
    <label>الاسم </label>
    <input class="form-control" placeholder="أكتب اسمك باللغة العربية" type="text" name="name">
  </div>
						
  <div class="form-group  ">
    <label>البريد الإلكتروني </label>
    <input class="form-control" placeholder="أدخل البريد الإلكتروني الخاص بك" type="email" name="email">
  </div>

  <div class="form-group  ">
    <label>كلمة المرور </label>
    <input class="form-control " placeholder="أدخل كلمة المرور الخاصة بك" type="password" name="password">
  </div>

  <div class="form-group  ">
    <label>تأكيد كلمة المرور </label>
    <input class="form-control" placeholder="أدخل كلمة المرور الخاصة بك مرة آخرى " type="password" name="password_confirmation" value="" autocomplete="new-password">
  </div>
  <div class="row">
    <div class="col-md-4 col-xs-12">
      <div class="form-group"><input value="تسجيل" type="submit" class="btn btn-ghost btn-primary btn-block" /></div>
    </div>
  </div>
</form>

و يمكنك استقبال قيم الحقول باستخدام لغة PHP بهذا الشكل 

<?php
$con = mysqli_connect("localhost","root","","register");
if (isset($_POST['name'])){
	$name = stripslashes($_POST['name']);
	$email = stripslashes($_POST['email']);
	$password = stripslashes($_POST['password']);
	$query = "INSERT into `users` (name, email, password) VALUES ('$name', '$email', '".md5($password)."')";
	$result = mysqli_query($con,$query);
}
?>

بتاريخ 2 دقائق مضت قال بلال زيادة:

كما قال المدرب وائل, فلذلك يمكنك إنشاء جدول لحفظ بيانات المستخدمين وتكون تركيبة الجدول كما في الشكل التالي 

CREATE TABLE `users` (
  `id` bigint(20) UNSIGNED NOT NULL,
  `name` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `email` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `password` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

فلاحظ أنه نريد تخزين اسم المستخدم و البريد الألكتروني الخاص به و كلمة المرور له, و يمكنك إنشاء نموذج إدخال بلغة HTML  بهذا الشكل 

<form method="POST" action="register.php">
  <div class="form-group ">
    <label>الاسم </label>
    <input class="form-control" placeholder="أكتب اسمك باللغة العربية" type="text" name="name">
  </div>
						
  <div class="form-group  ">
    <label>البريد الإلكتروني </label>
    <input class="form-control" placeholder="أدخل البريد الإلكتروني الخاص بك" type="email" name="email">
  </div>

  <div class="form-group  ">
    <label>كلمة المرور </label>
    <input class="form-control " placeholder="أدخل كلمة المرور الخاصة بك" type="password" name="password">
  </div>

  <div class="form-group  ">
    <label>تأكيد كلمة المرور </label>
    <input class="form-control" placeholder="أدخل كلمة المرور الخاصة بك مرة آخرى " type="password" name="password_confirmation" value="" autocomplete="new-password">
  </div>
  <div class="row">
    <div class="col-md-4 col-xs-12">
      <div class="form-group"><input value="تسجيل" type="submit" class="btn btn-ghost btn-primary btn-block" /></div>
    </div>
  </div>
</form>

و يمكنك استقبال قيم الحقول باستخدام لغة PHP بهذا الشكل 

<?php
$con = mysqli_connect("localhost","root","","register");
if (isset($_POST['name'])){
	$name = stripslashes($_POST['name']);
	$email = stripslashes($_POST['email']);
	$password = stripslashes($_POST['password']);
	$query = "INSERT into `users` (name, email, password) VALUES ('$name', '$email', '".md5($password)."')";
	$result = mysqli_query($con,$query);
}
?>

 

اخي لم اكن اقصد هذا، اتمنى مراجعة هذه الصفحه لانني رددت على اجابت الاخ وائل ووضحت مقصودي، شكرا لك

بتاريخ الآن قال علي الكاسر:

اخي لم اكن اقصد ذلك، لا اعرف كيف اشرح لك الامر، كان قصدي الاحتفاظ بمعلومات المستهدم لفترة اطول، انا حاليا استخدم السيشن او الجلسه ولكن هذه تختفي بمجرد الخروج فتره من الوقت من المتصفح او اغلاقه، لذلك يجب على ابمستخدم ان يقوم بعملية تسجيل الد٨ول كل مرة يزور الموقع، كيف نجعله لمرة واحده يقوم بتسجيل الدخول، هنا يمكن استخدام الكوكيز ولكن هذه خطره ويمكن اختراقها، هل يوجد طريقه غيرها امنه، وكيف تقوم هذه المواقع مثل حسوب بحفظ تسجيل دخول المستخدم، هل يستخدمون الكوكيز او هل ٧ناك طريقه اخرى 

ممكن إنشاء معرف جلسة عشوائي عند تسجيل الدخول و من ثم يمكنك حفظ معرف الجلسة هذه في الكوكيز و أيضا يمكنك حفظ معرف الجلسة هذه في الجدول الخاص بالأعضاء في قاعدة البيانات ممكن أن يكون هناك حقل اسمه 

`remember_token` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT NULL,

فيكون تركيب جدول الأعضاء كالتالي 

CREATE TABLE `users` (
  `id` bigint(20) UNSIGNED NOT NULL,
  `name` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `email` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `email_verified_at` timestamp NULL DEFAULT NULL,
  `password` varchar(255) COLLATE utf8mb4_unicode_ci NOT NULL,
  `remember_token` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

ومن ثم عند الدخول للموقع يمكنك مقارنة معرف الجلسة الموجود بالكوكيز مع معرف الجلسة الموجود بقاعدة البيانات و من ثم منح الوصول للمستخدم لتصفح الموقع كأنه قام بتسجيل الدخول أو لا . 

ولكن غالباً الطريقة التي يستخدمها أغلب المبرمجين هي عن طريق حفظ بيانات الدخول في جلسة على المتصفح . 

بتاريخ 4 دقائق مضت قال بلال زيادة:

ومن ثم عند الدخول للموقع يمكنك مقارنة معرف الجلسة الموجود بالكوكيز مع معرف الجلسة الموجود بقاعدة البيانات و من ثم منح الوصول للمستخدم لتصفح الموقع كأنه قام بتسجيل الدخول أو لا . 

وماذا اذا ارسل احد القراصنه رابط للمستخدم وعند زيارة هذا المستخدم للرابط قام هذا القرصان بمعرفت الكوكيز، ووضعها في جهازه هل الان صار اخترق حساب ذلك الشخص ويمكنه الدخول باسمه ومعلوماته

بتاريخ الآن قال علي الكاسر:

وماذا اذا ارسل احد القراصنه رابط للمستخدم وعند زيارة هذا المستخدم للرابط قام هذا القرصان بمعرفت الكوكيز، ووضعها في جهازه هل الان صار اخترق حساب ذلك الشخص ويمكنه الدخول باسمه ومعلوماته

لم أفهم ما تقصد كيف سيكون شكل الرابط الذي أرسله القرصان ؟ 

بتاريخ 2 ساعات قال علي الكاسر:

هنا يمكن استخدام الكوكيز ولكن هذه خطره ويمكن اختراقها، هل يوجد طريقه غيرها امنه، وكيف تقوم هذه المواقع مثل حسوب بحفظ تسجيل دخول المستخدم، هل يستخدمون الكوكيز او هل ٧ناك طريقه اخرى

استخدم Local storage لتخزين البيانات الحساسة، وتقنية JSON web token في عملية المصادقة.

هكذا تعمل فيسبوك وحسوب، وتكون مدة ال Token عدة أشهر.

بتاريخ 3 ساعات قال بلال زيادة:

لم أفهم ما تقصد كيف سيكون شكل الرابط الذي أرسله القرصان ؟ 

رابط الى سكربت ملغوم، يقوم باستخراج كوكيز الضحيه

بتاريخ 2 ساعات قال Wael Aljamal:

استخدم Local storage لتخزين البيانات الحساسة، وتقنية JSON web token في عملية المصادقة.

هكذا تعمل فيسبوك وحسوب، وتكون مدة ال Token عدة أشهر.

أخي بحثت عن ما ذكرت ولم اجد شرح عربي تطبيقي مع php, اخي انا ضروري اتعلم هذا الامر، اين يمكنني تعلمه، بحيث يكون الشرح تطبيقي مع php, جزاك الله خيرا

بتاريخ الآن قال علي الكاسر:

أخي بحثت عن ما ذكرت ولم اجد شرح عربي تطبيقي مع php, اخي انا ضروري اتعلم هذا الامر، اين يمكنني تعلمه، بحيث يكون الشرح تطبيقي مع php, جزاك الله خيرا

التعامل مع  Local storage يتم عن طريق جافاسكربت.

*****

يستخدم Json Web Token أو اختصارا JWT في عملية الإستيثاق أو Authentication.

فكرة JWT هي أنه بعد تسجيل المستخدم دخوله لتطبيقك، سواء كان تطبيق ويب أو غيره، يتم على مستوى الخادم توليد رمز طويل (Token) بناء على مفتاح سري (Secret Key) لا يجب على أحد الإطلاع عليه باستثناء الخادم.

المهم، بعد توليد ذلك الرمز يتم إرساله للواجهة الأمامية للتطبيق ويتم تخزينه في جهاز المستخدم (المتصفح مثلا في Local Storage) وبعدها يتم إرساله في أي طلب Http نكون في حاجة فيه لعمل استيثاق. الخادم يتأكد من أن JWT صحيح عن طريق التحقق منه باستخدام Secret Key الذي قلنا فيما سبق أنه قيمة نصية مخزنة في الخادم. إذا تم التحقق بنجاح هذا يعني بأن المستخدم Authenticated وإلا فالعكس.

يمكن تخزين بعض المعلومات الغير حساسة في JWT مثل id الخاص بالمستخدم أو اسمه، ولا ينصح أبدا بتخزين معلومات مثل كلمة المرور أو معلومات البطاقة البنكية إلخ... لأن فك تشفير JWT سهل للغاية وفي متناول أي شخص يحصل عليه.

يوجد مكتبات تساعدك في تطبيقك وأشجعك على استخدام مكتبات خارجية للتدرب على ذلك:

• nowakowskir / php-jwt
• gamegos / php-jwt

بتاريخ منذ ساعة مضت قال Wael Aljamal:

وبعدها يتم إرساله في أي طلب Http نكون في حاجة فيه لعمل استيثاق.

اخي كيف يتم ارسال الطلب هذا 

بتاريخ 3 دقائق مضت قال علي الكاسر:

اخي كيف يتم ارسال الطلب هذا 

مواضيع لتبحث فيهم:

• HTTP method 

أمثلة:

• نوع get مثلا النقر على رابط
• نوع post إرسال form 

كيف نرسل بيانات للمخدم؟ بنفس الطريقة نخصص حقل ل JWT

بتاريخ On ١٤‏/٧‏/٢٠٢١ at 22:18 قال Sam Ahw:

إن قمت بالبحث ضمن الأكاديمية ستجد العديد من الإجابات على سؤالك بخصوص معمارية MVC فهذه المعمارية هي منهجية برمجية وليست مقتصرة على لغة معينة مثل PHP أو أي لغة أخرى، لذلك لن تتغير الإجابة إذا قمت بتغيير لغة البرمجة فالمبادئ هي نفسها أينما وجدت.

فيما يلي بعض الإجابات على سؤالك سابقاً:

أما بخصوص التطبيقات العملية، يمكنك أخذ Laravel على سبيل المثال وفهم آلية توزيع مجلداتها وكيفية العمل بين المكونات، فهي مبنية على منهجية MVC وبمجرد قيامك بإنشاء مشروع جديد من خلال لارافل تقوم باعتماد هذه المنهجية وأثناء قيامك بالبرمجة من خلالها تقوم بتطبيق مثال عملي على MVC نظراً لآلية توزيع المكونات في لارافل.

بتاريخ منذ ساعة مضت قال Wael Aljamal:

مواضيع لتبحث فيهم:

• HTTP method 

أمثلة:

• نوع get مثلا النقر على رابط
• نوع post إرسال form 

كيف نرسل بيانات للمخدم؟ بنفس الطريقة نخصص حقل ل JWT

اعتقد اقتربت من فهم الامر، هل تعني لما اعمل فورم ارسال بوست اضيف حق مخفي اضع فيه شيفرك jwt, عموما انا استخدم طلبات الاجاكس ممكن ارسل الشيفره مع الطلب، هل هذا هو الامر اخي او انا مخطئ

بتاريخ 8 ساعات قال علي الكاسر:

كيف ممكن حفظ معلومات تسجيل دخول المستخدم لفترة طويلة

يجب أن نسأل ما الفرق بين الفترة الطويلة والفترة القصيرة في تذكر المستخدم ؟ 

لنطور نظام المصادقة على عدة مستويات:

• المستوى الأول (عدم تذكر المستخدم أبدا، يبرز المستخدم هويته عند كل طلب):
  لنبدأ من الأساس وهو أن على المستخدم في كل مرة يرسل بها طلب إلى النظام أن يبرز هويته بشكل صريح، لا يمكننا أن نجعل نظام التوثيق بهذه البساطة حيث يمكن لأي مستخدم انتحال شخصية أي مستخدم آخر، لذا نطلب من المستخدم إرسال كلمة سر تم الاتفاق عليها مسبقًا مع كل طلب لتوثيق مصداقية المستخدم، في هذا المستوى نحن لا نتذكر المستخدم أبدًا فقط نعالج ونتحقق من كل طلب بشكل منفرد
• المستوى الثاني (تذكر المستخدم لفترة قصيرة، تنتهي الفترة بإغلاق المتصفح):
  بدل من طلب تأكيد هوية المستخدم عند كل طلب نقوم بالتحقق من أول طلب فقط ونرسل للمستخدم رمزًا يستخدمه في الطلبات اللاحقة، أحد طرق تنفيذ ذلك عن طريق ارسال الرمز داخل Cookie يستخدمها المستخدم خلال جلسته ويقوم برميها عند إغلاق المتصفح، سيتطلب ذلك إعادة إبراز المستخدم لهويته عند كل جلسة (في كل مرة يفتح التصفح من جديد)
• المستوى الثالث (تذكر المستخدم بشكل دائم، فترة تذكر لا تنتهي أو فترة طويلة جدًا):
  نفس فكرة المستوى الثاني لكن نخبر المستخدم بالحفاظ على الرمز لفترة أطول وعدم رميه حال إغلاق المتصفح، يتم ذلك بتعيين فترة صلاحية طويلة لل Cookie (مثلا 30 عام).

بتاريخ 8 ساعات قال علي الكاسر:

وبشكل آمن

الأمان مسؤولية المستخدم

فهو المسؤول عن الاحتفاظ برمز الدخول المرسل من قبلك بشكل آمن، أي عدم إرساله لأحد وعدم السماح لأحد بالوصول إليه وذلك عن طريق استخدام المتصفحات الآمنة التي توفر الحماية لبيانات المستخدم، وكذلك الانتباه من استخدام البرامج الخبيثة التي تقوم بمحاولة سرقة تلك البيانات

مسؤوليتك في حماية بيانات المستخدم

من طرفك يجب الاحتفاظ ببيانات المستخدمين بشكل مشفر ومنع الوصول لها، ويمكنك المشاركة في مساعدة حماية المستخدم من سوء استخدام بياناته عبر:

• منع الاتصال بموقعك إلا عن طريق اتصال مشفر (مثل HTTPS أو SSH)
• وضع علامة HTTP Only على ال Cookies المرسلة وهي اشارة للمستخدم أن يرسلها فقط مع طلبات HTTP ولا يجعلها مرئية ل JavaScript
• إرسال Cookie مشفرة للمستخدم تضمن لك أن نظامك هو من ولد البيانات داخلها

بتاريخ 8 ساعات قال علي الكاسر:

مثل موقع آكاديميك حسوب مثلا

 كل المواقع والأنظمة تعتمد المبادئ السابقة لحماية بيانات المستخدمين والحماية من الاختراق وهناك عدة طرق لتنفيذ كل الأفكار السابقة وليست طريقة واحدة، ولكن المبادئ الأساسية تبقى نفسها

بتاريخ 5 ساعات قال Hassan Hedr:

يجب أن نسأل ما الفرق بين الفترة الطويلة والفترة القصيرة في تذكر المستخدم ؟ 

لنطور نظام المصادقة على عدة مستويات:

• المستوى الأول (عدم تذكر المستخدم أبدا، يبرز المستخدم هويته عند كل طلب):
  لنبدأ من الأساس وهو أن على المستخدم في كل مرة يرسل بها طلب إلى النظام أن يبرز هويته بشكل صريح، لا يمكننا أن نجعل نظام التوثيق بهذه البساطة حيث يمكن لأي مستخدم انتحال شخصية أي مستخدم آخر، لذا نطلب من المستخدم إرسال كلمة سر تم الاتفاق عليها مسبقًا مع كل طلب لتوثيق مصداقية المستخدم، في هذا المستوى نحن لا نتذكر المستخدم أبدًا فقط نعالج ونتحقق من كل طلب بشكل منفرد
• المستوى الثاني (تذكر المستخدم لفترة قصيرة، تنتهي الفترة بإغلاق المتصفح):
  بدل من طلب تأكيد هوية المستخدم عند كل طلب نقوم بالتحقق من أول طلب فقط ونرسل للمستخدم رمزًا يستخدمه في الطلبات اللاحقة، أحد طرق تنفيذ ذلك عن طريق ارسال الرمز داخل Cookie يستخدمها المستخدم خلال جلسته ويقوم برميها عند إغلاق المتصفح، سيتطلب ذلك إعادة إبراز المستخدم لهويته عند كل جلسة (في كل مرة يفتح التصفح من جديد)
• المستوى الثالث (تذكر المستخدم بشكل دائم، فترة تذكر لا تنتهي أو فترة طويلة جدًا):
  نفس فكرة المستوى الثاني لكن نخبر المستخدم بالحفاظ على الرمز لفترة أطول وعدم رميه حال إغلاق المتصفح، يتم ذلك بتعيين فترة صلاحية طويلة لل Cookie (مثلا 30 عام).

الأمان مسؤولية المستخدم

فهو المسؤول عن الاحتفاظ برمز الدخول المرسل من قبلك بشكل آمن، أي عدم إرساله لأحد وعدم السماح لأحد بالوصول إليه وذلك عن طريق استخدام المتصفحات الآمنة التي توفر الحماية لبيانات المستخدم، وكذلك الانتباه من استخدام البرامج الخبيثة التي تقوم بمحاولة سرقة تلك البيانات

مسؤوليتك في حماية بيانات المستخدم

من طرفك يجب الاحتفاظ ببيانات المستخدمين بشكل مشفر ومنع الوصول لها، ويمكنك المشاركة في مساعدة حماية المستخدم من سوء استخدام بياناته عبر:

• منع الاتصال بموقعك إلا عن طريق اتصال مشفر (مثل HTTPS أو SSH)
• وضع علامة HTTP Only على ال Cookies المرسلة وهي اشارة للمستخدم أن يرسلها فقط مع طلبات HTTP ولا يجعلها مرئية ل JavaScript
• إرسال Cookie مشفرة للمستخدم تضمن لك أن نظامك هو من ولد البيانات داخلها

 كل المواقع والأنظمة تعتمد المبادئ السابقة لحماية بيانات المستخدمين والحماية من الاختراق وهناك عدة طرق لتنفيذ كل الأفكار السابقة وليست طريقة واحدة، ولكن المبادئ الأساسية تبقى نفسها

رد جميل جدا مشكور اخي، لكن ماهو الخيار المعمول به في الفيس بوك وتويتر لحفظ دخول المستخدم لفتره طويله، من بين الطرق الثلاث التي ذكرتها وهل jwt هي المعمول بها في اغلب المواقع

بتاريخ 1 ساعة قال علي الكاسر:

ماهو الخيار المعمول به في الفيس بوك وتويتر لحفظ دخول المستخدم لفتره طويله

في الغالب المواقع تستخدم ال Cookies وتضع داخلها قيم مشفرة لا يمكن الاطلاع على محتواها، وتعين مدة صلاحية لها طويلة كما تم الشرح سابقًا

بتاريخ 1 ساعة قال علي الكاسر:

وهل jwt هي المعمول بها في اغلب المواقع

JWT مناسبة أكثر للتواصل بين الخدمات وهو استخدامها الشائع، لكن مع زوار المواقع ارسال Cookie مع تعيين مدة صلاحية مناسبة سيفي بالغرض المطلوب

بتاريخ 6 ساعات قال Hassan Hedr:

JWT مناسبة أكثر للتواصل بين الخدمات وهو استخدامها الشائع، لكن مع زوار المواقع ارسال Cookie مع تعيين مدة صلاحية مناسبة سيفي بالغرض المطلوب

شكرا اخي، اتمنى تنشر مقالا تعليميا عن jwt, لان لا يوحد محتوى عربي يشرحها بالتفصيل