84669 人學習
152542 人學習
20005 人學習
5487 人學習
7821 人學習
359900 人學習
3350 人學習
180660 人學習
48569 人學習
18603 人學習
40936 人學習
1549 人學習
1183 人學習
32909 人學習
目前我做的專案登入只是判斷用戶session是否存在,若有則登錄,若沒有則未登入
這種簡單粗暴的辦法,是不是安全,安全程度高低呢?
不知道目前成熟一點,並且設計相對簡單的登入驗證是什麼思路,麻煩大神指點
登陸狀態最簡單的就是session,而且是非常安全的 和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的
個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?所以還是建議使用cookie來驗證使用者身分.cookie裡儲存用戶的ID和salt.用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.
$_SESSION
session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。
session是否存在
這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)
登陸狀態最簡單的就是session,而且是非常安全的
和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的
個人認為使用
$_SESSION
來判斷使用者是否登入的方法不可靠.比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
所以還是建議使用cookie來驗證使用者身分.
cookie裡儲存用戶的ID和salt.
用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.
session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。
這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)