Tôi đã nghĩ đến việc viết kịch bản xác thực của riêng mình nhưng tôi không biết nhiều về bảo mật.Tôi nên sử dụng thông tin gì để xác thực người dùng trong PHP?
Từ các bài viết tôi đã đọc, có vẻ như nó thường liên quan đến việc băm mật khẩu bằng một muối và lưu trữ nó trong cơ sở dữ liệu. Sau đó, khi người dùng yêu cầu đăng nhập, mật khẩu được băm và so sánh với cơ sở dữ liệu. Nếu nó khớp, thì dữ liệu của người dùng được lưu trữ trong $ _SESSION.
Tuy nhiên, tôi không biết điều này có an toàn hay không. Tôi đọc một cái gì đó về lưu trữ các khóa phiên trong cơ sở dữ liệu nhưng tôi không chắc chắn về cách thức hoạt động, hoặc làm thế nào để thực hiện điều đó.
Ai đó có thể giải thích cách triển khai xác thực bảo mật?
Ngoài ra, có bất kỳ đề xuất nào cho thư viện xác thực PHP tôi có thể kết hợp dễ dàng để tìm hiểu thay vì viết của riêng tôi không?
Vui lòng đọc bản tóm tắt tuyệt vời này trước: [băm an toàn và muối cho mật khẩu php] (http://stackoverflow.com/questions/401656/secure-hash-and-salt-for-php-passwords) –
Bạn nên quay lại sử dụng một khung xác thực hiện có bất cứ khi nào có thể, bởi vì, thực sự, nó phức tạp. Ví dụ: hãy xem https://github.com/delight-im/PHP-Auth, cả hai đều không có khung công tác bất khả tri và không có cơ sở dữ liệu. – caw