以前は自分のサイトでユーザー認証をしたことが一度もありませんでした。しかし、私はそれに依存するウェブサイトを作成しました(または作成中です)。私はクッキー対セッションがあり、一般的なコンセンサスはセッションがより安全であるということを読んだので、そうするつもりです。私のウェブサイトへのユーザーログイン(セッション)の追加に関する良い情報
私はこの作業をどのように行うかについて完全に迷っているので、私は安全にセットアップするための素晴らしい初心者用ガイドを探しています。これは私がサイトを立ち上げて実行するためのステップバイステップを意味します。
トークンだけがクッキーのようなデータではなくクライアント側に格納されるという意味で、セッションはより安全です。したがって、クッキーは簡単に操作することができ、POSTまたはGETデータを信頼するのと同じ方法でのみ信頼されるべきです。しかし、同じことをクッキーで手動で行うことはできます。
通常は、データベースエントリに対応するランダムトークンをクッキーに保存します。
たとえば、ユーザーがログインすると、ランダムトークンが生成されます。このトークンは、ユーザーのIDとCookieと共に保存する他の情報とともに、データベースに挿入されます。次に、クッキー自体に格納されているのはランダムトークンだけです。
クッキーにアクセスするには、データベース内のトークンを参照するだけです。
よく基本的には、すべての機密データをPHP session(実際にログインしているか、特別な特権を持っているかのように)に保存し、セッション識別子をクッキーに入れてください。しかしこれはPHP自身によって自動的に処理されることがよくあります。
ユーザーを認証し、セッションに関する情報を保存し、成功メッセージを表示するだけで済みます。
ユーザーが次にページにアクセスするときに、彼がすでにセッションを持っているかどうかをチェックするだけで済みます。彼をログアウトするには、彼のセッションを破壊するだけです。
セッションは本当に使いやすいです。ユーザーは自分のセッションデータにアクセスすることができず、自分のCookieを変更することができるため、より安全であると言われています。
Googleはあなたの友人です。 ;) –
私はgoogleを使っていて、主題に関する非noobsの記述が少ないだけです。プラス彼らが何を言っているかを検証する方法はありません。ここでは、私はインテリジェントな人々が正しい道で私をかき立てることができます:) – n0pe
セッションとクッキーは、ログイン時の認証ではなく、状態を維持するために使用されます。 –