我正在尝试编写一个允许用户保持登录状态的页面。如果网站有SSL,是否足以设置会话变量?我正在检查一个只是说该人已登录的会话变量。
$_SESSION['LOGIN'] = true;
在每个页面上,我只是检查是否设置了此值。如果是这样,让他们有权访问。如果没有,请重新登录。这对SSL来说是否足够安全?或者我应该做其他检查吗?
答案 0 :(得分:2)
会话存储在服务器上,因此在这种情况下SSL无关紧要。当代理使用自己的代码替换传输中的页面来窃取信息时,SSL可以防止用户被欺骗。 SSL通过加密页面来防止这种情况。会话永远不会传输。这就足够了,但如果您想要非常安全,可以使用存储在会话中的用户名和密码重新执行每个页面加载的身份验证。
答案 1 :(得分:1)
如果您的系统只允许注册用户,即每个人都必须输入身份验证,那么您需要确保以下内容:
当用户登录时:输入用户名和密码并单击输入,如果他们单击后退按钮(在浏览器上),则会自动注销。如果没有,有人可以登录,点击后退按钮并解释他们已注销,离开他们的办公桌,其他人点击前进按钮并获得未经授权的访问。
当用户注销时,如果他们单击后退按钮,则会将其重定向到索引页面。如果没有,有人可以注销,离开他们的办公桌,其他人点击后面的浏览器按钮并获得对系统的访问权。