Hallo zusammen,

wie ist das denn eigentlich: ich übergebe Logindaten (User in Klartext, Passwort als Hash) aus VB an ein PHP-Script (POST-Daten). PHP-seitig wird geprüft, ob die Daten korrekt sind und je nachdem ein entsprechender Return-Wert geliefert.
Da es sich um eine API handelt und zur Programmlaufzeit immer wieder (zusammen mit den Credentials) darauf zugegriffen werden muss, müssen ja Benutzername und Passwort-Hash in der Programmlaufzeit immer mal wieder verwendet und übertragen werden.

Macht es denn deshalb Sinn bzw. ist es überhaupt möglich, diese Daten - solange sie nicht genutzt werden - irgendwo "sicher" aufzubewahren? Ich kann sie einfach in globale Variablen legen - aber ist das sinnvoll?
Oder spielt es sowieso keine Rolle, da ich die Daten ja immer mal wieder nutze und sie somit in den Momenten eh abgegriffen werden könnten?
Falls es geht - und sinnvoll ist - womit macht man sowas? Hab nichts gefunden für klassisches VB

Danke und Gruss,
KyX

Wie bezeichnest du das?

Würde sagen, es ist verschlüsselt oder?

Also ich war ursprünglich der Meinung dass es ein Hash ist. Aber nach der frage von Rod war ich dann verwirrt in Bezug auf die Funktion die ich nutze. Also Hash passt dann. Und ich kenne den Unterschied sehr wohl.

Übertragung erfoltg natürlich verschlüsselt - Verbindung über http wird vom Server abgelehnt. Bei der Verbindung wird zudem bei der Anfrage vom Server ein Token und ein Session-Cookie generiert. Auch diese beiden Elemente müssen passen. Sonst gibt die Api einen Error 401 aus.
wie könnte ich es sonst besser machen? Bzw. Was macht Sinn?

Okay, gut zu wissen.
Die API biete ich selbst an, ja.
Ich nutze eine einfach REST-API aus diesem Projekt github.com/mevdschee/php-crud-api

Dieses Add-On nutze ich zur Absicherung/Authentifizierung gegenüber der API: github.com/mevdschee/php-api-auth
Die Absicherung basiert beim Addon auf in PHP Hard-coded username und passwort. Hier habe ich in die Auth.php noch eine Funktion eingebaut, die mir anhand des Benutzernamens den in der DB gespeicherte Password-Hash ausliest. Statt den hardcoded-Daten werden dann Benutzername und Passwort-Hash abgeglichen.
Rest ist gleich geblieben.

Gerne doch - mein PHP ist leider nicht sonderlich gut
Das hier ist die zusätzliche Funktion, mit der ich über die DB den PW-Hash auslese.
Die Funktion ist in der auth.php der Authentifizierungs-Addons eingebaut, aber außerhalb der großen Klasse in der auth.php.
In der Auth.php ist sie drin, weil dort die Post-Daten ankommen.

Für die DB-Abfrage habe ich PDO mit einem prepared statement verwendet.

Ja, ich weiss - das while kann noch weg

In der API.php rufe ich zusätzlich zu Beginn diese Funktion auf und benutze später die beiden Variablen für Username und <PW-Hash statt dem fest eingetragenen String:


Nach dem Code folgt dann die API.
Das ist soweit alles.

Wenn ich irgendwie noch was besser absichern kann/soll/muss, nur heraus damit.
Und ja, ich will mich genau deswegen an eine Anwendung wagen, die einen Login verwendet und auf eine externe MySQL-DB zugreift schreiben. Genau weil ich mich seit Jahren nicht mehr damit befasst habe und mein Wissen nicht mehr State of the Art ist. Nur muss ich sowas selbst ausprobieren - am besten mit Projekt
Die Anwendung soll ein Tool in der Firma ersetzen, welche die Zugangsdaten zur MySQL-DB hart codiert hat...

Übrigens: das letzte Mal, dass ich mit Passwort-Hashs gearbeitet habe war, als man noch mit MD5 gehasht hat

Danke für den Typ mit filter_input. Kannte ich gar nicht Wie gesagt, PHP hab ich nicht wirklich drauf Aber filter_input klingt einfach. Kann ich ja noch anpassen.
Was PDO angeht: ich hab mal gelernt, PDO ist sicher. Aber wie es scheint, ist MySQLi alternativ auch okay. Aber solange es nur ein Schönheitsfehler ist kann ich damit leben

Deine 2. Tasse Kaffee muss übrigens ganz schön gross sein

Haha
alles gut, musste nur etwas schmunzeln so wichtig ist das hier auch nichr