当用户登录我的网站时,我设置了一个SESSION,并在SESSION中添加了一个字段:
Session::set('twostep', false);
如果他们打开了两个步骤验证,并且这不允许他们访问该网站,除非它说的是真的所以如果他们从google authenticator应用程序获得一次性代码,它将被更改为true并让他们使用该网站,这是一种安全的方式吗?
答案 0 :(得分:0)
Sessions存储在服务器上,只要服务器没有被黑客攻击,就无法操纵它们,所以(我会说)是的。 编辑的诅咒,您可以将它们作为开发人员操纵,或者如果您放置一些可由用户访问并且有能力执行此操作的脚本。