我有一个基于用户的站点(PHP)。
创建用户时,会生成随机密码,并且他们可以更改密码。 密码使用
保存password_hash($password,PASSWORD_DEFAULT)
登录时,我使用password_verify()检查密码并将其登录到网站。
该网站有一个管理面板(在不同的会话中),我希望管理员可以在不知道密码的情况下登录用户。
我想知道最安全的方法是什么,更喜欢没有'主密码'。
网站:
www.my-site.com
管理员面板:
www.my-site.com/admin /
答案 0 :(得分:0)
我认为,如果以管理员身份登录,最简单的方法就是绕过身份验证
例如,假设您有users.php脚本列出了所有用户。当以管理员身份登录时,它还为您提供“admin”cookie
在那里,您可以添加按钮管理/面板/其他任何内容,这将带您使用GET参数admin.php,例如?user=someone。脚本将检查您是否有“admin”cookie,如果有,将打开管理面板
如果你没有这个cookie,它会抛出403或任何你想要的东西。