我对PHP很新,所以请耐心等待。我创建了一个网站,我用基本身份验证和SSL(Apache服务器)保护。但是,这种情况不过是安全的,因为用户标识和密码是以纯文本形式传输的。我考虑过digest auth,但由于无关的原因,这并不是很好。
因此,我现在正在考虑对整个站点进行SSL加密(已经是这种情况),并使用基于cookie的机制进行会话身份验证。我已阅读并且(我相信)了解如何使用PHP设置和取消设置cookie的基础知识,但我找不到如何实现安全登录机制的好例子。然而,这必须是一个非常常见的登录方案,因此我认为一些预先制作的登录页面可能已经可用于轻松定制。
如果有人能指导我如何实施基于cookie的安全登录的分步教程,我将非常感激!非常感谢提前!
答案 0 :(得分:1)
如果您在整个网站上使用SSL,则用户名和密码不会以纯文本格式传输,而是作为加密连接的一部分传输。
与大多数网络应用相比,基本身份验证与SSL结合使用是一种足够安全的设置。
答案 1 :(得分:1)
这里有一些混淆的术语。首先,说明通过SSL发送密码是不安全的,这是不正确的。其次,您将身份验证与授权混淆。身份验证证明用户就是他所说的人。用户名和密码执行此操作,以便完成该部分。此时,您将为用户创建一个会话,其中包含他的身份和他可能承担的角色。会话通过cookie保留在请求中。然后,当他访问站点的某些部分时,您必须检查他的角色,看它们是否与您定义为访问该区域所需的角色相匹配。您可以通过Apache配置完成所有这一部分,而无需编写任何代码。