我有一个网站,使用活动目录对用户进行身份验证。本网站仅供公司内部使用,不包含任何敏感信息。该网站使用SSL保护。当用户登录时,他/她的用户名和密码将通过POST传输到服务器。然后,我将他/她的用户名存储在TTL为1天的会话cookie中,并通过每个Web动作进行刷新。从现在开始,每个网页都会检查这个带有用户名的cookie是否存在。如果是,它将允许用户访问该特定页面。登出将删除此cookie。
这种认证方式是否可以接受?有没有更好的方法来处理用户身份验证?是否有必要使用会话并在cookie中存储会话ID?
答案 0 :(得分:1)
使用Sessions确实很好用,是的。我不知道你正在使用什么语言,但是在本地存储信息是一个好主意(这不是不包括敏感和私人信息,即密码)。
页面通常会在加载时检查您的身份验证(及其类型)。
我已经失去了与PHP的联系,但是例如ASP.NET有一个非常整洁(但很复杂)的身份系统,你的登录信息将存储在一个单独的Session中,并在注销时被破坏,但也存储有关其类型的信息。这将允许开发人员标记需要特定类型身份的页面。例如:
[Authorize(Roles="admin")]
public ActionResult Index() {
// Your action information
}
再一次,我对PHP很生疏,但我认为它与<html>
标签之前的会话相似,即
<?php
if(is_null($_SESSION["user-info"]["type"])
header("Location: index.php");
?>
<html>
...
总的来说,您在每种后端Web开发语言中使用会话的方式可能会推迟,但整体可用性是相同的。您可以使用会话来存储用户信息,存储&#34;购物篮&#34;物品等。