php-CodeIgniter身份验证安全模型
作者:互联网
我已经为CodeIgniter构建了一个自定义身份验证系统(我知道有各种第三方库可用,但这是出于我自己的利益),但是我担心我遗漏了一些明显的东西,可能会使整个系统崩溃.
我使用CI会话(通过数据库)并为一些可能毫无意义的混淆加密cookie值.登录通过SSL进行(并且cookie被修改为仅安全).我也使用phpass对存储的密码进行哈希处理,尽管那在这里并不重要.这部分的某个地方可能存在薄弱环节,但是我主要担心的是,页面间检查基本上由if is_logged_in = true类型方法以及会话中的用户名组成.这一点让我感到担忧,因为这似乎太“容易”了.这种方法是否很脆弱?我应该计算用户代理或其他内容的逐页哈希值,并确保它们匹配吗?
任何指针将不胜感激.就像我说的,我知道已经存在的解决方案,但是我想在这里学习一些知识:)
解决方法:
您提到的一切都很好.我不熟悉phpass.确保在对密码进行哈希处理时使用的是盐.
if_logged_in = true检查就足够了,因为会话数据存储在服务器端.检查诸如用户代理之类的内容的原因是为了帮助防止会话劫持,即一个人获得另一人的会话ID.
标签:codeigniter,security,session-cookies,php 来源: https://codeday.me/bug/20191023/1914589.html