0

aMember Pro などのユーザー/サブスクリプション管理ソフトウェアを検討しています。これは、フォルダー保護方法を使用して、サイトの領域へのアクセスを防ぎます。そのため、PHP スクリプトには Apache (linux/unix) が必要です。

私の Web サーバーは IIS Windows 2003 で、MySQL データベースを使用してユーザー ID とサブスクリプション ステータス/アクセス権限を保存しています。無料/有料の2種類しかありません。ユーザーがログインすると、ユーザーIDをセッションCookieに保存し、これを使用して各ページのサブスクリプションステータスを確認し、このページで表示できるものを決定します(ページはわずかで、すべて同じフォルダーにありますウェブサーバー)。

各方法の長所/短所は何ですか? Cookie とデータベースの方法は適切で安全ですか? 必要がなければ Linux に切り替える必要はありませんし、aMember ソフトウェアの他のすべての側面は Windows でも問題なく動作します。

サイトがデータベースを使用してユーザーIDを保存していない場合にのみ、フォルダ保護が本当に必要ですか。サブスクリプション管理ソフトウェアを追加する前に、アクセス権に関する問題はすべて完了しているので、フォルダー保護を使用する必要はないと思いますが、他の意見を聞きたいと思っています。

ありがとう

4

2 に答える 2

1

あなたが話している認証は、ユーザーがすべての要求で認証する必要がある Apache の基本的な HTTP 認証のように見えます。Apacheのドキュメントから

クライアント ブラウザは、指定されたユーザー名とパスワードをキャッシュし、認証レルムと共に保存します。これにより、同じレルムから他のリソースが要求された場合、同じユーザー名とパスワードを返してその要求を認証することができます。もう一度入力してください。

したがって、セッションベースのアプローチは、フォルダー保護とは少し異なります。これは、1 つの要求よりも長く存続する長期セッションであり、Web サーバーではなく PHP によって管理されるためです。

サーバー側のセッション アプローチは、ユーザー認証を必要とするほぼすべてのページで非常に一般的であり、(脆弱性がある場合でも) 十分に安全であることが証明されています。いずれにせよ、セキュリティが心配な場合は、認証 (通常はプレーン パスワードを転送する) が安全な (SSL) 接続で実行されることを確認する必要があります。

于 2009-11-11T15:06:34.667 に答える
1

Linux に切り替える必要はありません。Apache は Windows 上で正常に動作します。IIS を使い続けたい場合は、FastCGIで PHP を有効にすることができます。

于 2009-11-11T14:53:28.307 に答える