Существует ли какой-нибудь параметр, который отвечает за то, что авторизовался пользователь или нет?
Сейчас если в строка запроса (в браузере строка адреса) ввести Z21ID=111, то авторизация проходит. При этом фамилию знать вовсе не обязательно. Хотя далее идентификатор тянется по ссылкам в зашифрованном виде, это не мешает обойти авторизацию.
Возможна ли жесткая связка Фамилии (адрес электронной почты, логин и т. д.) и Идентификатора (пароля)?
+
Для авторизации лучше всего использовать логин и пароль. В качестве логина можно взять электронную почту или фамилию, в качестве пароля - идентификатор.
В любое случае, запись в БД RDR c идентификатором 111 для повышения защиты авторизации (все действия же направлены против админов
WI) необходимо редактировать.
Для признака авторизации вполне подойдет виртуальное поле v1002 (ReaderIDTag) - незашифрованный идентификатор читателя. Если там что-то есть, то пользователь авторизовался.
+
В документации для команды R21COM=R (Заказ) существует параметр
Логин = Фамилия (Z21FAMILY) = номер виртуального поля по умолчанию отсутствует.
Возможно ли его использовать в связке с идентификатором пользователя (Z21ID) чтобы к примеру скрыть ссылки неавторизованным пользователям при выполнении не только команды Заказ (Z)? Даже если в строке запроса будет указан идентификатор, то без знания фамилии, пользователь ссылки не увидит. Такую связку можно прописать в скрипте защиты. Непонятно почему сокрытие ссылок реализовано, через обычный параметр в конфигурационном файле WI (irbis_server.ini). Как таковой, чтобы скачать данный файлик, вовсе не обязательно авторизоваться. Поэтому целесообразно изначально в скрипте защиты прописать такое условие.
Редактировано 2 раз. Последний раз 15.01.2013 15:17 пользователем woodyfon.