我正在寻找一个关于使用cookie为网站创建登录页面的简短教程。
每位用户都有一个username和一个password。
我应该同时保存Cookie中的username和password吗?或只是username可能就足够了?
恶意用户可以以某种方式窃取这些Cookie并通过授权吗?
答案 0 :(得分:2)
将密码存储在cookie中并不是一个好主意。如果只存储用户名,则系统基本上完全不安全。请记住,客户端可以完全控制它发送到服务器的cookie的内容。它可以发送它想要的任何用户名。您应该为特定会话创建授权令牌(可能具有与之关联的到期时间)并将其存储在cookie中。为防止篡改cookie,您应在服务器上签名(并加密)并验证签名。
那就是说,正确地做这件事并不是一件容易的事。不要重新发明轮子。使用您的平台提供的身份验证机制。
答案 1 :(得分:0)
在PHP中进行身份验证的方法有很多种。只是谷歌一个 http://www.developertutorials.com/scripts/script-details/307067.php
答案 2 :(得分:0)
您需要将用户密码存储在数据库中,并以某种方式对其进行模糊处理。 PHP有一个名为md5()的内置函数。
这是一个关于php.net的指南,可以帮助您完成。
http://php.net/manual/en/features.http-auth.php
如果您在掌握这些概念时遇到困难,那么我建议您使用php框架。我选择的框架是cakePHP,它使身份验证变得轻而易举(另一个顶级框架是Code Igniter)。