현재 제가 하고 있는 프로젝트 로그인은 단지 사용자 세션이 존재하는지 확인하기 위한 것입니다. 존재한다면 로그인하고, 존재하지 않으면 로그인되지 않습니다
이 간단하고 투박한 방법은 얼마나 안전한가요?
더 성숙하고 상대적으로 간단한 로그인 인증을 디자인하려는 현재의 아이디어가 무엇인지 모르겠습니다. 조언을 부탁드립니다
我想大声告诉你2017-05-31 10:36:03
가장 간단한 로그인 상태는 세션이며 매우 안전합니다.
세션과 함께 쿠키가 있기 때문에 상대적으로 세션만큼 안전하지는 않지만 설정하면 보안 문제는 없습니다.
我想大声告诉你2017-05-31 10:36:03
개인적으로는 $_SESSION를 사용하여 사용자의 로그인 여부를 확인하는 방법이 신뢰할 수 없다고 생각합니다.
예를 들어 사용자가 비밀번호를 변경한 후 프로그램이 어떻게 이전 로그인을 무효화할 수 있습니까?
그래서 여전히 사용하는 것이 좋습니다.
쿠키는 사용자의 신원 ID와 솔트를 저장합니다.
사용자가 성공적으로 등록하거나 비밀번호를 변경하면 솔트가 재생성되고 사용자 테이블이 업데이트됩니다.
曾经蜡笔没有小新2017-05-31 10:36:03
세션은 상대적으로 간단하지만 신뢰성이 충분하지 않습니다. 신뢰성이 더 필요한 경우 WeChat/QQ를 참조하고, 보다 신뢰할 수 있는 정보를 보려면 온라인 뱅킹 로그인을 참조하세요.
曾经蜡笔没有小新2017-05-31 10:36:03
세션이 존재합니다
세션은 쿠키에 저장되며 원칙적으로 클라이언트의 내용이므로 신뢰할 수 없습니다. 서버는 클라이언트의 정보를 신뢰해서는 안 되며 유효성을 검사해야 합니다. 검증 로직은 직접 설계해 주세요. (단지 "예"와 "아니오"로만 판단하는 것만으로는 충분하지 않습니다.)