0

私はPHPにかなり慣れていないので、ご容赦ください。基本認証と SSL (Apache サーバー) で保護された Web サイトを作成しました。ただし、ユーザー ID とパスワードはプレーン テキストとして送信されるため、このシナリオは安全とは言えません。ダイジェスト認証を検討しましたが、無関係な理由でうまくいきません。

したがって、私は現在、サイト全体を SSL で暗号化することを検討しており (既にそうなっています)、セッション認証に Cookie ベースのメカニズムを使用しています。PHP で Cookie を設定および設定解除する方法の基本を読んで理解しましたが、安全なログインのメカニズムを実装する方法の良い例を見つけることができません。それでも、これは非常に一般的なログイン シナリオであるに違いないため、事前に作成されたログイン ページの一部は、簡単にカスタマイズできるようになっていると思います。

Cookie ベースの安全なログインを実装する方法のステップバイステップのチュートリアルに誰かが案内してくれたら、非常にありがたいです! よろしくお願いします!

4

2 に答える 2

1

ここにはいくつかの用語の混乱があります。まず、SSL 経由でパスワードを送信することは安全でないと述べているのは誤りです。次に、認証と承認を混同しています。認証は、ユーザーが本人であることを証明します。ユーザー名とパスワードがそれを行うので、その部分は終了です。その時点で、ユーザーの ID とユーザーが引き受けるロールを含むセッションを作成します。セッションは、Cookie を介してリクエスト間で保持されます。次に、彼がサイトの特定の部分にアクセスするとき、その役割をチェックして、その領域にアクセスするために必要であると定義した役割と一致するかどうかを確認する必要があります。コードをまったく記述する必要なく、Apache 構成を介してそのすべての部分を実行できます。

于 2012-08-13T23:30:22.950 に答える
1

サイト全体で SSL を使用している場合、ユーザー名とパスワードはプレーン テキストではなく、暗号化された接続の一部として送信されます。

SSL と組み合わせた基本認証は、ほとんどの Web アプリにとって十分に安全な設定です。

于 2012-08-13T19:55:51.673 に答える