Log masuk projek semasa yang saya lakukan hanyalah untuk menentukan sama ada sesi pengguna wujud Jika ia wujud, log masuk, jika tidak, maka ia tidak log masuk
Adakah kaedah mudah dan kasar ini selamat?
Saya tidak tahu apakah idea semasa untuk mereka bentuk pengesahan log masuk yang lebih matang dan agak mudah, sila beri saya nasihat
Status log masuk yang paling mudah ialah sesi, dan ia sangat selamat
Seiring dengan sesi, terdapat kuki, ia tidak selamat seperti sesi, tetapi jika ia ditetapkan, tidak akan ada masalah keselamatan.
Secara peribadi, saya rasa kaedah menggunakan
$_SESSION
untuk menentukan sama ada pengguna log masuk tidak boleh dipercayaiSebagai contoh, selepas pengguna menukar kata laluannya, bagaimanakah program boleh membuat log masuk lama tidak sah
Jadi masih disyorkan untuk digunakan kuki untuk mengesahkan identiti pengguna.
Kuki menyimpan ID identiti dan garam pengguna.
Apabila pengguna berjaya mendaftar atau menukar kata laluan, garam dijana semula dan jadual pengguna dikemas kini.
sesi agak mudah, tetapi tidak cukup dipercayai; jika anda memerlukan lebih kebolehpercayaan, anda boleh merujuk kepada WeChat / QQ, dan untuk maklumat yang lebih dipercayai, rujuk log masuk perbankan dalam talian.
Ini tidak boleh dipercayai kerana sesi disimpan dalam kuki dan merupakan kandungan klien Pada dasarnya, pelayan tidak seharusnya mempercayai sebarang maklumat daripada pelanggan dan perlu disahkan. Mengenai jenis logik pengesahan, sila reka sendiri (hanya menilai "ya" dan "tidak" jelas tidak mencukupi)