La connexion actuelle au projet que je fais sert simplement à déterminer si la session utilisateur existe. Si elle existe, connectez-vous, sinon, elle n'est pas connectée
.Cette méthode simple et grossière est-elle sûre ?
Je ne sais pas quelle est l'idée actuelle pour concevoir une vérification de connexion plus mature et relativement simple, donnez-moi quelques conseils
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Le statut de connexion le plus simple est la session, et il est très sûr.
En plus de la session, il y a des cookies Relativement parlant, il n'est pas aussi sécurisé que la session, mais s'il est configuré, il n'y aura aucun problème de sécurité.
Personnellement, je pense que la méthode d'utilisation de
$_SESSIONpour déterminer si un utilisateur est connecté n'est pas fiable.Par exemple, après qu'un utilisateur a modifié son mot de passe, comment le programme peut-il invalider l'ancienne connexion
Il est donc toujours recommandé d'utiliser ? cookies pour vérifier l'identité de l'utilisateur.
Le cookie stocke l'identifiant et le sel de l'utilisateur.
Lorsque l'utilisateur s'inscrit avec succès ou modifie le mot de passe, le sel est régénéré et la table des utilisateurs est mise à jour.
session est relativement simple, mais pas assez fiable ; si vous avez besoin de plus de fiabilité, vous pouvez vous référer à WeChat / QQ, et pour des informations plus fiables, vous référer à la connexion bancaire en ligne.
Ceci n'est pas fiable car la session est stockée dans le cookie et correspond au contenu du client. En principe, le serveur ne doit faire confiance à aucune information du client et doit être validé. Quant à la logique de vérification, veuillez la concevoir vous-même (juger simplement « oui » et « non » n'est évidemment pas suffisant)