Foro - Perl en Español

Buenos días, tengo el siguiente archivo que es donde valido la sesión de usuario de una aplicación web:




Por cierto este código es tomado del amigo explorer (y con algunas modificaciones) que escribió en otro mensaje (gracias).

El problema es que cuando presiono el enlace de "salir" ejecuta el $session->clear pero vuelve a crear la sesión inmediatamente y después redirecciona. Por favor, no entiendo el porqué crea la sesión de nuevo.

Gracias por adelantado de la ayuda que me puedan dar.

¿Qué quieres decir con que redirecciona?

En el código vemos que se manda un print() que refresca y redirecciona la página a la principal, dentro del if() del 'Desconecta'. ¿Te refieres a eso?

Y al volver a cargar la principal, se vuelve a crear una sesión (línea 19), por lo que debería salir el mensaje de 'Identifíquese' otra vez.

No importa que la sesión se cree de nuevo. Lo importante es si el usuario se identifica o no.

Naturalmente, estos son líneas de programa y procedimientos. Si no quieres que se cree una sesión nueva, quizás debas redireccionar a una página estática cuando el usuario se desconecta.

No sé si te he respondido bien...

Hola explorer. Sí, me refiero al if() de 'desconecta'. Es que el problema es ese: yo salgo a 'info.pl' y ahí existe un enlace para el login y cuando haces clic entra directo sin pedir autenticación. Además cuando doy 'atrás' en el navegador regresa al menú.

Otra pregunta ese print() que redirecciona (en el if() 'desconecta'). Yo lo había colocado $cgi->redirect('info.pl') pero no me redirecciona, hay otro método para redireccionar o estoy escribiendo mal el código.

No estoy muy seguro de por qué puede fallar...

En cuanto al redirect(), debería ser (que yo recuerde):



El problema es que tienes puesto unos print() antes, en las líneas 25 y 26, así que no funcionará el redirect() hasta que no las quites. Ese contenido es mejor que lo pongas dentro de la creación de las distintas páginas (en el start_html() de cada una).

No es nada bueno mezclar print() con funciones generadoras de HTML y el header(), si no se sabe exactamente el orden de salida de cada uno de ellos.

En caso de duda, ejecutar el cgi en la línea de comandos, para ver el resultado en pantalla.

Ok, bueno una última pregunta. ¿Cómo hago para que al dar atrás en el navegador me pida de nuevo autenticación? Porque aunque la sesión haya expirado igual puedo regresar presionando "atrás " en el navegador.

Pero al volver a atrás, ¿qué estamos viendo? ¿realmente se ha cargado de nuevo la página (ha habido una petición al servidor), o el navegador web nos está mostrando el contenido del caché?

Si la sesión ha expirado, debería aparecer una nueva autenticación. Quizás no se ha borrado del todo los datos de sesión, y aunque la cookie haya expirado, CGI::Session se esté encontrando con una sesión abierta que corresponde con la IP del mismo usuario.

Humm... habría que reducir el código a la mínima expresión, para hacer pruebas...

Hice una prueba para que cuando haga clic en salir se vaya al siguiente archivo:



En esta prueba el reconoce que la sesión ha expirado (lo intenté poniendo un print y funcionó) pero no me borra la sesión...

Ahora ¿cómo hago para "meter" esta líneas en el cgi?



Lo que quiero es no se guarde nada de la página en caché. Con esto creo que sí resolvería lo de volver con el botón de 'atrás' en el navegador (que se guarda en caché, por cierto).

La clave está en el uso de un parámetro, dentro de la sesión, que indica su estado (son los parámetros que comienzan por '~' en los ejemplos anteriores). Si el valor del parámetro es '1', seguimos dentro, pero si no, aunque la sesión exista, no es una sesión válida, ni podemos considerar el usuario como autenticado.

Ahora bien... si resulta que el usuario da 'atrás', y adonde va hacia atrás es justo en el formulario donde ingreso los datos de autenticación, entonces es normal que el formulario mantenga los datos que contenía el formulario unos momentos antes.

Solución: una vez que el usuario se da baja, lo llevamos a otra página, o... lo llevamos a la misma página del formulario de entrada. El que aparezca en ese momento, en la caja de registro y contraseña, los datos del usuario, es porque éste le dijo al navegador que se los recordara (los navegadores pueden recordar esos datos, según las preferencias de los usuarios).

El insertar los datos de no-caché solo sirve para que el navegador vuelva a pedir los archivos HTML e imágenes de esa página, en cada petición. Pero en los CGI, eso siempre ocurre (el navegador podría cachear el resultado del CGI, pero sabe que es un programa, así que siempre lo solicita: no lo cachea).

Aunque estoy sospechando que se puede hacer de una forma más cómoda, tienes una solución completa en el último mensaje de este hilo. Aunque es un mensaje muy largo, lo importante es el último código: la clave está en la línea 47: si la sesión ha expirado, el parámetro '~registrado' tiene un valor de falso. En ese momento, le decimos al usuario que su sesión ha expirado (o cerrado), y le volvemos a mostrar el formulario de entrada. Fíjate que incluso le saludamos con su nombre: en la línea 49 extraemos su nombre de la propia sesión. Es decir: existe la sesión, pero el parámetro '~registrado' ya nos dice que caducó.

Hay además dos tiempos de expiración: el tiempo que dura registrado el usuario, son diez segundos, pero la sesión dura un día. Dicho de otra manera: durante un día el servidor recuerda los datos del usuario, pero cada vez que entra solo le deja estar diez segundos.

Te animo a que lo pruebes. Date cuenta que no es igual al primer código que publicaste en este hilo. Aunque decías que estaba basado en un código mío, yo considero que el correcto es el último publicado en el hilo enlazado antes.

Voy a apuntar aquí los enlaces a más información sobre CGI::Session, con ejemplos característicos:

• CGI::Session::Tutorial
• CGI::Session::CookBook

En este último, hay un ejemplo llamado MEMBERS AREA, donde protegemos una zona de la web a solo la gente que esté autenticada. Y usan un parámetro llamado '~logged-in' para controlar el estado de el usuario. Precisamente de este ejemplo construí el mío.

Vigila también los tiempos de expiración de las sesiones: si el tiempo es largo, la cookie sigue transmitiéndose al servidor. De hecho, esta es una forma de terminar la sesión de un usuario: mandando un tiempo de expiración negativo o cero, con lo que la cookie de sesión, en el navegador del usuario, se borra.

Si te parece, podemos construir una minimaqueta de lo que quieres hacer. Has hablado de una página de registro del usuario (autenticación), otra página de acceso solo para usuarios autenticados, y el botón de cerrar sesión. Y el problema estaba en si el usuario pulsa el botón de vuelta atrás. ¿Se me olvida algo?

P.D. Sí, esto es un rollo. En Mojolicious y Dancer lo han simplificado para hacerlo más transparente.
P.P.D. Si quieres realmente evitar que las páginas de contenido no queden almacenadas en la caché del navegador, entonces sí que hay poner lo del no-cache, pero solo en esas páginas.

Gracias por tomarte el tiempo para la explicación, explorer.

Tomé el código que me indicaste y lo adapté a lo que necesitaba (solo cambié el formulario de autenticación y lo que aparece cuando estás dentro luego que entras) Ahora cuando presiono salir, envío a la página principal, y si vuelvo a entrar al área para usuarios autenticados me pide contraseña de nuevo (el tiempo de expiración cuando estás autenticado sigue en 10 segundos como en el ejemplo que me distes) Muy bien

Ahora el problema sigue siendo cuando estoy en la página principal y presiono 'atrás': me regresa al área de usuarios autenticados.

Sin embargo, hice una prueba que fue estando en la página principal borrar la cookie desde el navegador y cuando presioné atrás me dijo que la página había expirado (estoy usando Firefox). Ahora, yo opino hacer la prueba de no guardar en caché la página.

¿¿Cómo escribo en cgi lo del no-cache??

Lo debes escribir dentro del start_html() (sacado del manual del CGI, sección 'CREATING THE HTML DOCUMENT HEADER'):

(Naturalmente, hay muchos campos que puedes quitar, el único interesante para tu caso es del '-head'. Si lo ves complicado, puedes seguir usando la solución que tenías, con unos simples print(), pero eso sí: deben ir justo en la parte del <head> de la página.)

De todas maneras... pienso que debe haber una manera mejor de evitar la vuelta atrás... En el propio manual del CGI se comenta el parámetro -expires, que indica el tiempo por el cuál se puede mantener la información creada por el CGI dentro de la caché del navegador. Por defecto, los navegadores no cachean nada generado por los CGI, pero con esa opción se puede hacer que la guarden durante un momento, y luego, que la descarten. Mira que es justo lo contrario de lo que quieres hacer, pero quizás podría ser aplicado.

A ver si tengo un rato, y puedo hacer una prueba.