我已经为 CodeIgniter 构建了一个自定义身份验证系统(我知道有各种可用的第 3 方库,但这是为了我自己的利益)但我担心我遗漏了一些明显的东西,这可能会导致整个事情失败。
我使用 CI session (通过数据库)并加密 cookie 值以进行一些可能毫无意义的混淆。登录通过 SSL 进行(并且 cookie 被修改为仅是安全的)。我还使用 phpass 来散列存储密码,尽管这在这里并不真正相关。这部分某处可能存在薄弱环节,但我主要担心的是,页面到页面检查基本上由 if is_logged_in = true 类型方法及其在 session 中的用户名组成。这一点让我很担心,因为它似乎有点太“简单”了。这种方法很脆弱吗?我是否应该逐页计算用户代理或其他内容的哈希值并确保它们匹配?
任何指针将不胜感激。就像我说的,我知道预先存在的解决方案,但我正在尝试在这里学习一些知识:)
最佳答案
你说的都不错。但是我不熟悉 phpass。确保在对密码进行哈希处理时使用盐。
if_logged_in = true 检查就足够了,因为 session 数据存储在服务器端。检查用户代理等内容的原因是为了帮助防止 session 劫持,即一个人获取另一个人的 session ID。
关于php - CodeIgniter 授权安全模型,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4443446/