目前我做的專案登入只是判斷用戶session是否存在,若有則登錄,若沒有則未登入
這種簡單粗暴的辦法,是不是安全,安全程度高低呢?
不知道目前成熟一點,並且設計相對簡單的登入驗證是什麼思路,麻煩大神指點
登陸狀態最簡單的就是session,而且是非常安全的 和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的
個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?所以還是建議使用cookie來驗證使用者身分.cookie裡儲存用戶的ID和salt.用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.
$_SESSION
session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。
session是否存在
這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)
登陸狀態最簡單的就是session,而且是非常安全的
和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的
個人認為使用
$_SESSION來判斷使用者是否登入的方法不可靠.比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
所以還是建議使用cookie來驗證使用者身分.
cookie裡儲存用戶的ID和salt.
用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.
session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。
這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)