CodeIgniter 身份验证安全模型

发布于 2024-10-07 23:13:49 字数 415 浏览 0 评论 0原文

我已经为 CodeIgniter 构建了一个自定义身份验证系统（我知道有各种可用的第三方库，但这是为了我自己的利益），但我担心我错过了一些明显的东西，可能会导致整个事情失败。

我使用 CI 会话（通过数据库）并加密 cookie 值，以进行一些可能毫无意义的混淆。登录通过 SSL 进行（并且 cookie 被修改为仅安全）。我还使用 phpass 来散列密码以进行存储，尽管这与这里并不真正相关。这部分中的某个地方可能存在薄弱环节，但我主要担心的是，页到页检查基本上由 if is_logged_in = true 类型方法及其会话中的用户名组成。这一点让我担心，因为它似乎有点太“容易”了。这种方法很脆弱吗？我是否应该逐页计算用户代理或其他内容的哈希值并确保它们匹配？

任何指示将不胜感激。就像我说的，我知道已有的解决方案，但我试图在这里学习一些知识:)

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

仙气飘飘 2024-10-14 23:13:49

你提到的一切都很好。不过我对 phpass 并不熟悉。确保在对密码进行哈希处理时使用的是盐。

if_logged_in = true 检查就足够了，因为会话数据存储在服务器端。检查用户代理等内容的原因是为了帮助防止会话劫持，即一个人获取另一个人的会话 ID。

回复收藏 0 原文

左耳近心 2024-10-14 23:13:49

PS：我不是安全专家，所以我更喜欢使用由安全专家检查的系统：openid、facebook connect、twitter(oauth)、google Signin 等

但这是我的清单（我可以认为off)：

使用 SSL 确保通过网络发送密码时无人能读取您的密码。
你应该清理你的所有输入（$ _POST、$_GET、$_SERVER 等）。如果不是局部变量，你应该小心。例如，您应该使用此过滤器 => 清理 $_SESSION['is_logged_in'] $var = filter_var($_SESSION['is_logged_in'], FILTER_VALIDATE_BOOLEAN, FILTER_NULL_ON_FAILURE); AGAIN 您应该对来自服务器的所有输入执行此操作，因为它们不是安全的。最好的方法是使用白名单而不是黑名单。因为你有可能会错过一些东西。
使用 PDO 来最大限度地降低 sql 注入的风险。
不要以纯文本形式将密码存储在数据库中，而是散列它们。我想这件事还是有风险的。因为最近 gawker/lifehacker 受到了损害（想知道它是如何发生的？）。我想你的 phpass 非常可靠，因为 owasp 也推荐它。
警惕 XSS 攻击。由于正在清理输入，因此已经完成
针对 CSRF 采取措施。例如，如果您可以在用户登录时修改电子邮件地址，这也可能非常危险。下一步是发送电子邮件以重置您的密码，并且您的系统已受到损害。