Веб Глобальная система регистрации и авторизации

А каким образом можно посылать POST запросы, допустим с php обвязки ?(Без сокетов и curl)

С какой ? Можно подробнее ?

 

Пфф, слить можно и то и то.

 

У меня есть уже набросок скрипта авторизации и регистрации через все это дело с кешированием, если кому-то надо - пишите.
Собираюсь сделать простую защиту от подбора пароля и выложить скрипт.

 

Все это круто конечно, но у вас бабла не хватит на достойный антиддос. Положат ваш сайт и слягут все.

 

Даже если и будут, содержать такой проект нет смысла.

 

Я тебе там немножко аккаунтов зарегал

Спойлер: Скрин

Сейчас их уже гараздо больше, сам глянь [DOUBLEPOST=1420140534,1420140208][/DOUBLEPOST]Бедный хостингер

Спойлер: Скрин

[DOUBLEPOST=1420140576][/DOUBLEPOST]@danilko[DOUBLEPOST=1420142196][/DOUBLEPOST]Ой, лол. Ты базу дропнул?[DOUBLEPOST=1420142949][/DOUBLEPOST]Почему аккаунты удаляются? (((([DOUBLEPOST=1420143091][/DOUBLEPOST]

 

previshenie_resursov_processora

 

Warning! Vozgoranie ts! Raschet temperatyri....
CITICAL!!!
PREVISHENIE_RESURSOV_PROCESSORA!!!

 

Ваше пофиг сейчас, отката я не делал, но сделаю сейчас.[DOUBLEPOST=1420227060,1420201430][/DOUBLEPOST]UPD: добавил сдерживание засорения; теперь не получится сильно засрать БД.
Скоро добавлю проверку E-mail.

 

vizov prinyat

 

Два аккаунта за полчаса ? Я думал будет больше, ну лан.

 

в скупе ответь

 

Проверка мыла при регистрации? Пфф. Даже простой хороший скриптовый автокликер тебе за ночь с одной машины акков 250 зарегистрирует.
Хотя вообще глупо засерать БД, толку - ноль. ТС просто возьмет VDS в OVH за 2 евро и настроит блокировку по IP для отправляющих слишком большое количество запросов.
В таком виде (хостингер и тред на форуме, без полноценной поддержки) система не будет жить.
@danilko, либо бери минимум - вдску в овх (там и антиддос неплохой вроде как) и нормальный домен, делай сайт где все расписано от а до я, либо - кидай бэкенд в паблик, получишь тонну лайков.

 

288 предел, блокировка по ip тоже большой защиты не даст, прокси и все такое.
По поводу хоста. У меня сейчас просто нет денег на аренду даже самой дешёвой вдски\впски.

Про хост написал, бэкенд могу выложить на github, но толку то ? То что там будет можно за пару часов самостоятельно написать.

 

Менять носки и прокси и все, подобная защита отвалится.
Хотя я не понимаю, зачем заниматься таким бесполезным делом как реганье акков.

 

Тогда нужно иметь большую базу человекоподобных имен и почт, если все они будут с сервисов 10-минутной почты, их можно будет легко удалять или просто не допускать к регистрации с блокировкой на час за попытку создать аккаунт.
Да и в чем польза создания скажем 1000 аккаунтов-пустышек, с тратой на это скажем 200 проксей и предварительным созданием листов человекоподобных почт и ников? Антиддос отобьет обычную атаку, а создание акков нагрузит систему только если за это возьмутся китайцы (IP китайских провайдеров по идее нужно в черный список по дефолту отправлять, если проект не супермеждународный будет).

 

Если система палит факты входа игрока на сервер, то делать пометку в списке аккаунтов, сколько дней назад играл аккаунт по факту, если в течение 30 дней (и другие условия) он ни разу не вошёл на сервер — удаление аккаунта и всех его комментариев и т.п.

 

Такс, скоро сделаю обновление небольшое.
Значит, для защиты от DDOS будет белый список ip адресов, как он будет составляться и для чего нужен позже напишу. И думаю, что даже сайтик на хостингере будет сложно перегрузить.
Помимо анти-ddos автоочистка. Аккаунты будут удаляться после года отсутствия активнтсти. (Кроме demo) Возможно сделаю ограничение по времени активации. Так же будет лог действий пользователей. (Как конкретно для отдельного пользователя, так и для конкретного проекта, и для всей системы в целом). Если у кого есть какие-то идеи сейчас самое время о них написать.

 

Ок )
Но он вроде открыт.[DOUBLEPOST=1420552871,1420546136][/DOUBLEPOST]Доступ к API закрыт.(Белый список в действии)
После обновления распишу что да как.[DOUBLEPOST=1420562824][/DOUBLEPOST]И так, первый этап обновления я завершил и теперь расскажу как организована защита.
Запросы к API теперь очень сильно отличаются от начального варианта, второй пост в теме я позже поправлю.

Для получения доступа к сервису необходимо пройти процедуру регистрации проекта, после одобрения заявки проект добавляется в белый список и получает "API key". Этот ключ используется в основном для логирования и контроля запросов. (Например, с вашего проекта идет атака, для сохранения БД в чистоте ваш ключ блокируется и на контактный e-mail высылается новый, но только после окончания атаки; или мирный пример - вам нужно посмотреть статистику авторизации\регистрации и вы делаете соответствующий запрос)

Регистрация будет ручная, то есть каждая заявка будет рассматриваться мной индивидуально. (Возможно, позже будут ещё модераторы)

Теперь про фильтрацию запросов. Защита блокирует все запросы со всех отсутствующих в списке ip адресов. То есть идет обработка запросов только с определённых ip адресов и это адреса самих проектов. (Сервер или сайт или ещё откуда, но адрес известен системе и он постоянен)
В итоге лаунчеры не могут подключаться "напрямую", им придется подключиться к сайту, а уже сайт в свою очередь обращается к системе авторизации.(Сайт взят для примера, возможны другие схемы)
Для чего это сделано. Ну, во-первых, для снижения нагрузки на сервер авторизации, во-вторых для избежания блокировки сайта хостингером за перерасход ресурсов, в-третьих для снижения возможности атаки.

На случай блокировки. Если ваш "API key" будет заблокирован, то с вашего проекта нельзя будет регистрироваться и запросы авторизации так же будут отклонены. По этому, при реализации своих скриптов, учитывайте это и делайте кеширование данных игроков, чтобы на случай блокировки возможность авторизации оставалась.

Пока-что для регистрации можете обращаться ко мне в ЛС или скайп. Немного позже сделаю возможность оставить заявку на сайте + отображение очереди на модерацию.

Из улучшений планирую сделать глобальную систему скинов и отображение игрового статуса.(Типа "играет на таком-то сервере" или "5 минут назад зашел туда-то")

 

за 5 баксов берём стрессер и ложим этими 5 баксами все проекты подключенные к данной системе) Экономия, не нужно брать никакой ботнет за 500$, просто стрессер, просто 5 баксов)[DOUBLEPOST=1420937915,1420937722][/DOUBLEPOST]Защита на стороне PHP bли ты на стороне сервера вручную ипы добавлять будешь? Ты такой смешной.
Просто бить по 3306 порту и ляжет вся системка. Хостингер F5 ложиться)[DOUBLEPOST=1420938011][/DOUBLEPOST]Внешние соединение со сторонними апи - это лишняя дыра.