khả năng ủy quyền/đăng nhập đơn giản trong php

Question

Tôi đang tìm cách thực hiện đăng nhập người dùng vào trang web của mình lần đầu tiên. Tôi rất vui khi xây dựng giải pháp của riêng mình hoặc triển khai một nguồn mở nào đó, tuy nhiên không có gói nào là lựa chọn hiển nhiên trong tìm kiếm của tôi cho đến nay. Tương tự, tôi hoàn toàn nhận thức được rằng như là một lập trình viên php trung gian ở mức tốt nhất, tôi rất có khả năng bỏ lỡ điều gì đó hiển nhiên nếu tôi cuộn giải pháp của riêng mình, và để cánh cửa tốt và thực sự mở.

Mọi đề xuất? Chúng tôi không nói siêu nhạy cảm hoặc dữ liệu thanh toán ở đây, nhưng bằng nhau, tôi không muốn mọi người làm hỏng trang web của tôi!

yêu cầu được - php dựa - đơn giản càng tốt, không cần cho chuông ưa thích và còi - không khung Zend, vì bây giờ tôi đã cán frameworkthanks rất cơ bản của riêng tôi để this post

Cảm ơn thông tin của bạn .

Answer 1

Một vài ngon Gotcha an ninh là

• bao giờ cửa hàng mật khẩu một un-mã hóa người dùng trong cơ sở dữ liệu
• bao giờ cửa hàng mật khẩu người dùng hoặc thậm chí là một hash của mật khẩu trong phiên làm việc hoặc dữ liệu cookie.
• Nếu bạn cần đảm bảo rằng thông tin đăng nhập được bảo mật, bạn phải sử dụng https.

tôi thấy những bài viết rất hữu ích trong việc xây dựng hệ thống đăng nhập với cookie:

• blog post on the fishbowl.
• Improved Persistent Login Cookie Best Practice

Answer 2

"Bạn sẽ để mắt ra ngoài."

Bảo mật là khó khăn. Tôi ghét phải nói điều này, nhưng tỷ lệ cược của bạn tạo ra một lược đồ ủy quyền đơn giản an toàn là khá mỏng. Không có chế độ dễ dàng ở đây. Vì vậy, bạn có thể muốn bắt đầu bằng cách đọc qua một loạt các mã xác thực trong các khung công tác/cms khác nhau và những nơi khác mà bạn có thể thấy người khác đã làm như thế nào và bắt đầu nghiên cứu.

Dưới đây là một số liên kết: http://www.topmost.se/personal/articles/casual-cryptography-for-web-developers.htm http://pear.php.net/packages.php?catpid=1

Answer 3

Đây không phải là khó, và thú vị để mã, như một người mới bắt đầu.

Bạn cần một nơi để lưu trữ dữ liệu của mình (giả sử một cơ sở dữ liệu mysql).

Bạn ít nhất phải có trường đăng nhập và trường mật khẩu. (mật khẩu nên được lưu trữ crypter sử dụng sha1() ví dụ).

Bây giờ, bạn phải hiển thị biểu mẫu đăng nhập. Tôi cho rằng điều này là ok cho bạn.

Điều gì sẽ được thực hiện, bất cứ khi nào chúng tôi nhận được thông tin đăng nhập và mật khẩu?

Truy vấn cơ sở dữ liệu để xem thời điểm có kết quả phù hợp với login_base == login_form và password_base == sha1 (password_form).

Nếu có, bạn đặt thứ gì đó, chẳng hạn như phiên chẳng hạn.

Vì vậy, trên trang mà người dùng phải đăng nhập, bạn chỉ phải kiểm tra xem có tập hợp phiên hay không.

Đây là cơ sở; sau đó bạn có thể thêm một số cấp độ và như vậy.

Answer 4

tôi thấy rằng đối với một số sử dụng, xây dựng riêng sử dụng xác thực http tôi là đủ. Tôi muốn giới thiệu this làm điểm xuất phát.

Vì bạn có khung cơ bản của riêng mình, nên không quá khó để đưa mã xác thực vào một số địa điểm phổ biến.

Một số ưu điểm là

• Không nhiều mã.
• Không yêu cầu cookie hoặc viết lại URL.

Nhược

• Không quy mô cũng để kiểm soát truy cập chi tiết hơn.
• Không dễ dàng cách "đăng nhập ".

-
bmb