Cách tốt nhất để xác thực trong PHP

Question

Cách tốt nhất và an toàn nhất để thực hiện khi viết thư viện xác thực theo kiểu xem-bộ điều khiển kiểu là gì?

Những điều khiến tôi gặp khó khăn trong việc theo dõi hoạt động của người dùng và ghi nhớ người dùng thông qua cookie hoặc lưu trữ phiên trong cơ sở dữ liệu?

Cảm ơn trước :).

Answer 1

Cách đơn giản nhất để triển khai thực hiện là với SESSIONS PHP.

chỉ session_start(); gần đầu tập lệnh của bạn và bạn có quyền truy cập vào mảng toàn cầu $ _SESSION để giữ dữ liệu xác thực của mình.

Tùy thuộc vào cấu hình máy chủ của bạn, tất cả dữ liệu được lưu trữ trong $ _SESSION sẽ chỉ khả dụng trên máy chủ mà từ đó nó được lưu trữ (với một vài ngoại lệ). Bạn có thể cấu hình nó để được lưu trong một thư mục tạm thời, trong memcached, hoặc thậm chí là một cơ sở dữ liệu.

Điều duy nhất được truyền giữa máy khách và máy chủ của bạn là "khóa phiên". Khóa có thể được chuyển qua cookie hoặc ghi đè URL (được xử lý trong suốt bởi bộ đệm đầu ra start_session).

Answer 2

Nếu bạn muốn sử dụng phiên, bạn phải đảm bảo chúng chống lại các cuộc tấn công như session fixation và session hijacking.

Để ngăn chặn cả hai bạn phải đảm bảo rằng chỉ các yêu cầu được xác thực mới được phép sử dụng phiên. Điều này thường được thực hiện bằng cách chuỗi nhiều thông tin cụ thể (có thể là duy nhất) về khách hàng nhất có thể với phiên. Nhưng vì một số thông tin có thể thay đổi theo mọi yêu cầu (như địa chỉ IP), có thể khó tìm được thông tin tốt nhất.
Đây là lý do tại sao việc sử dụng phương thức được biểu thị là Trending là rất hữu ích.

Một biện pháp bảo vệ tốt khác là trao đổi ID phiên định kỳ. Do đó, thời gian tấn công trên ID phiên hợp lệ nhỏ hơn.