現在、私が行っているプロジェクトのログインは、ユーザーセッションが存在するかどうかを判断するだけであり、存在する場合はログインし、存在しない場合はログインしません。
この単純かつ大雑把な方法は安全ですか? 安全性はどの程度ですか?より成熟した比較的シンプルなログイン認証を設計するというアイデアがわかりません。アドバイスをお願いします。
我想大声告诉你2017-05-31 10:36:03
最も単純なログイン状態はセッションであり、非常に安全です。
セッション以外に Cookie もありますが、セッションほど安全ではありませんが、設定されていればセキュリティ上の問題はありません。
我想大声告诉你2017-05-31 10:36:03
個人的には、$_SESSIONを使用してユーザーがログインしているかどうかを判断する方法は信頼できないと思います
たとえば、ユーザーがパスワードを変更した後、プログラムはどのようにして古いログインを無効にすることができますか?
そのため、引き続き使用することをお勧めします。ユーザーの身元を確認するための Cookie
Cookie はユーザーの ID とソルトを保存します。
ユーザーが正常に登録するか、パスワードを変更すると、ソルトが再生成され、ユーザー テーブルが更新されます。
曾经蜡笔没有小新2017-05-31 10:36:03
セッションは比較的単純ですが、信頼性が十分ではありません。より信頼性が必要な場合は WeChat / QQ を参照し、より信頼性の高い情報についてはオンライン バンキングのログインを参照してください。
曾经蜡笔没有小新2017-05-31 10:36:03
セッションが存在します
セッションは Cookie に保存され、クライアントのコンテンツであるため、これは信頼できません。原則として、サーバーはクライアントからの情報を信頼すべきではなく、検証する必要があります。検証ロジックについては、ご自身で設計してください(「はい」「いいえ」を判断するだけでは当然不十分です)