私はphp Webアプリのログインシステムに取り組んでいます。独自のシステムを展開することの危険性を認識しているので、何らかのビルド済みライブラリを使用したいと考えています。
いくつかの場所で zend_auth が推奨されているのを見てきました。また、zend_auth は他の Zend フレームワークとは独立して使用できるとも聞きました。私のアプリはどのフレームワークにも依存していないため、これが望ましいでしょう。認証のためだけにフレームワーク全体をインストールするのは気が進まないからです。
私は Zend の経験がなく、マニュアルのドキュメントが少しわかりにくいと感じています。私は疑問に思っています: zend_auth に基づいたシンプルな認証システムをセットアップする方法を説明するのに役立つリソースを知っている人はいますか? Zend フレームワークの残りの部分に依存していませんか?
ご協力いただきありがとうございます、
独自のシステムを展開することの危険性を認識しています
...
マニュアルのドキュメントが少しわかりにくい
次に、あなたが述べた理由から、それは正しい解決策ではありません。適切に使用する方法を理解していない場合は、決して安全ではなく、目的に適合していることを保証することはできません.
Zend にサポート連絡先の料金を支払い、助けを求めることを検討することもできます。
既製のコードを使用する場合、他にも問題があります。そこに欠陥がある場合、それを特定するのも解決するのも難しく、ベンダーの修正を元に戻すのも困難です。また、これは実際にはあいまいさによるセキュリティの議論ですが (したがって、十分に根拠のあるものではありません)、記述したコードは、提供されている既製の製品を使用している間、公開するまで (もしあれば) 潜在的な攻撃者には見えません。ソースとして、脆弱性がある場合、任意のスクリプト キディがサイトに対して攻撃を実行できます。
C.
安全な認証/承認のために最も重要なことは、アプリケーション全体が index.php のような単一のエントリ ポイントのみを持ち、すべてが書き換えられるという概念です。それ以外の場合は、呼び出される各ファイルを適切に含めて、承認などを確認する必要があります。
zend_auth 自体は、セキュリティを強化するものではありません。何にでも接続できるインターフェースのようなものです。したがって、ほとんどの場合、アプリケーションは認証/承認に常に同じコードを使用しますが、異なるデータに依存できます。