目前我做的项目登录只是判断用户session是否存在,若有则登录,若没有则未登录
这种简单粗暴的办法,是不是安全,安全程度高低呢?
不知道目前成熟一点,并且设计相对简单的登录验证是什么思路,麻烦大神指点
登陆状态最简单的就是session,而且是非常安全的 和session一起的还有Cookie 相对来说 没session安全 但是设置好也没什么安全问题的
个人认为使用$_SESSION来判断用户是否登录的方法不可靠.比如,一个用户修改密码后,程序如何实现旧的登录都失效?所以还是建议使用cookie来验证用户身份.cookie里存用户的ID和salt.用户注册成功时,或修改密码时,重新生成salt并更新用户表.
$_SESSION
session 比较简单,但不够可靠;需要更加可靠的话,可以参考 微信 / QQ ,更可靠的参考网银登录。
session是否存在
这个不可靠,因为session是存在cookie内的,是存在客户端的内容,原则上服务器应该不信任任何来自客户端的信息,需要进行 validate。至于什么样的验证逻辑,请自行设计(仅判断“有” “无”,显然是不够的)
登陆状态最简单的就是session,而且是非常安全的
和session一起的还有Cookie 相对来说 没session安全 但是设置好也没什么安全问题的
个人认为使用
$_SESSION来判断用户是否登录的方法不可靠.比如,一个用户修改密码后,程序如何实现旧的登录都失效?
所以还是建议使用cookie来验证用户身份.
cookie里存用户的ID和salt.
用户注册成功时,或修改密码时,重新生成salt并更新用户表.
session 比较简单,但不够可靠;需要更加可靠的话,可以参考 微信 / QQ ,更可靠的参考网银登录。
这个不可靠,因为session是存在cookie内的,是存在客户端的内容,原则上服务器应该不信任任何来自客户端的信息,需要进行 validate。至于什么样的验证逻辑,请自行设计(仅判断“有” “无”,显然是不够的)