PHP 中身份验证的最佳方法

Question

以模型-视图-控制器的方式编写身份验证库时，最好、最安全的方法是什么？

让我感到困难的是跟踪用户活动并通过 cookie 记住用户或将会话存储在数据库中？

提前致谢 ：）。

Answer 1

如果您想使用会话，则必须确保它们免受会话固定<等攻击/strong> 和会话劫持。

为了防止这两种情况发生，您必须确保仅允许经过身份验证的请求使用会话。 这通常是通过将尽可能多的有关客户端的特定（可能是唯一的）信息与会话链接起来来完成的。 但由于每次请求时某些信息可能会发生变化（例如 IP 地址），因此很难找到好的信息。
这就是为什么使用 Trending< 表示的方法很有用。 /a>.

另一个好的保护措施是定期交换会话 ID。 因此，对有效会话ID的攻击周期更短。

Answer 2

最简单的实现方法是使用 PHP SESSIONS。

只是session_start(); 在脚本开头附近，您可以访问 $_SESSION 全局数组来保存您的身份验证数据。

根据服务器的配置，存储在 $_SESSION 中的所有数据仅在托管它的服务器上可用（除了少数例外）。 您可以将其配置为保存在临时目录、memcached 甚至数据库中。

客户端和服务器之间传输的唯一内容是“会话密钥”。 密钥可以通过 cookie 或 URL 重写传递（由 start_session 输出缓冲区透明地处理）。