我正在构建一个用户可以登录的新网站。我看到三种可能的选择:
1。经典类型登录:
<form action="/login.php" method="POST">
</form>
并且提交按钮转到login.php
并在成功时验证并重定向
2。 ajax类型登录:
与上面相同,但改为执行ajax调用,然后javascript重定向。
第3。 iframe登录:
与stackoverflow / openid相同的想法
最安全,最好的方法是什么?
答案 0 :(得分:23)
嗯,在我看来,选项1&amp; 2应该使用post,并且在你的代码中你应该确保请求是post。如果您希望应用程序是超级安全的,您还应该添加其他会话逻辑以防止欺骗,但这对开发人员和应用程序是优先的。我发现iframe是邪恶的,许多黑客使用iframe破解不知情的用户帐户。 openid是一种值得信赖的登录方式,并且正在被广泛采用,以及openid的facebook版本。我知道他们使用iframe方法,但验证加倍,我相信https是实现这些类型登录所必需的。
所有这些只是我的意见,并且主要依赖于开发人员的设计和业务需求/应用程序的要求。
希望这有助于:)