我目前正在利用hybridauth进行我的前端身份验证。更确切地说,我有一个frontend.php和一个login.php。
- frontend.php仅检查是否存在活动连接(即Hybrid_Auth :: isConnectedWith(provider)),否则重定向到login.php。
- 用户可以登录login.php,如果成功,将再次重定向到frontend.php。这很好用。我也已将hybridauth会话存储在DB中。
我的问题:
- 我的frontend.php + JS纯粹是通过REST与后端进行通信。目前我的REST端点不进行身份验证。成功的前端登录hybridauth信息的哪一部分可以发送到REST后端(作为请求正文或标题的一部分),以确保不能操纵它?如果数据库中存在,则发送hybridauth会话并在后端进行比较,这是正确的吗?
- documentation表示将会话存储在数据库中更方便。这现在在我的login.php中完成。我应该在我的数据库中保留旧连接,还是可以删除它们,如果我插入新的连接?
- 另外,为了方便起见,我可以将Cookie中的" AppInternal" UserId存储在评论中,以便为会话进行数据库查找。但如果我这样做,这会被操纵吗?如果客户端将登录并伪装成用户#1(cookie操作:即UserID = 1),我的逻辑将检索此UserID = 1的最后一个会话 - 即使此客户端是其他人。这是否会在hybridauth中再次验证?