現在、私が行っているプロジェクトのログインは、ユーザーセッションが存在するかどうかを判断するだけであり、存在する場合はログインし、存在しない場合はログインしません。
最も単純なログイン状態はセッションであり、非常に安全です。セッション以外に Cookie もありますが、セッションほど安全ではありませんが、設定されていればセキュリティ上の問題はありません。
個人的には、$_SESSIONを使用してユーザーがログインしているかどうかを判断する方法は信頼できないと思います たとえば、ユーザーがパスワードを変更した後、プログラムはどのようにして古いログインを無効にすることができますか? そのため、引き続き使用することをお勧めします。ユーザーの身元を確認するための Cookie Cookie はユーザーの ID とソルトを保存します。 ユーザーが正常に登録するか、パスワードを変更すると、ソルトが再生成され、ユーザー テーブルが更新されます。
$_SESSION
セッションは比較的単純ですが、信頼性が十分ではありません。より信頼性が必要な場合は WeChat / QQ を参照し、より信頼性の高い情報についてはオンライン バンキングのログインを参照してください。
セッションが存在します
セッションは Cookie に保存され、クライアントのコンテンツであるため、これは信頼できません。原則として、サーバーはクライアントからの情報を信頼すべきではなく、検証する必要があります。検証ロジックについては、ご自身で設計してください(「はい」「いいえ」を判断するだけでは当然不十分です)
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
最も単純なログイン状態はセッションであり、非常に安全です。
セッション以外に Cookie もありますが、セッションほど安全ではありませんが、設定されていればセキュリティ上の問題はありません。
個人的には、
$_SESSIONを使用してユーザーがログインしているかどうかを判断する方法は信頼できないと思いますたとえば、ユーザーがパスワードを変更した後、プログラムはどのようにして古いログインを無効にすることができますか?
そのため、引き続き使用することをお勧めします。ユーザーの身元を確認するための Cookie
Cookie はユーザーの ID とソルトを保存します。
ユーザーが正常に登録するか、パスワードを変更すると、ソルトが再生成され、ユーザー テーブルが更新されます。
セッションは比較的単純ですが、信頼性が十分ではありません。より信頼性が必要な場合は WeChat / QQ を参照し、より信頼性の高い情報についてはオンライン バンキングのログインを参照してください。
セッションは Cookie に保存され、クライアントのコンテンツであるため、これは信頼できません。原則として、サーバーはクライアントからの情報を信頼すべきではなく、検証する必要があります。検証ロジックについては、ご自身で設計してください(「はい」「いいえ」を判断するだけでは当然不十分です)