如果我有一个普通用户和管理员登录表单 要么 我有管理员和普通用户的单独登录表单 哪个更好?
答案 0 :(得分:1)
可以使用相同的表格。
登录页面的目的是验证-确定用户是谁,而不是他们可以做什么(请参阅What is the difference between authentication and authorization?)。因此,例如,您可能希望他们提交密码或其他令牌,以减少他们不是他们所说的人的风险。每个人的过程都可以相同。
您网站中的某些功能可能仅对管理员或最终用户可用,但是只有在您确定用户是谁(已通过身份验证)后, 才能检查权限(授权) 。检查权限的逻辑应该出现在每个页面上。因此,它与身份验证过程的方式无关。
答案 1 :(得分:0)
如果所需登录信息相同,则管理员和普通用户都应使用一种形式。只有两种形式会使应用程序的编写更加复杂。具有一个或两个登录表单将同样安全。只需记住在服务器端实施正确的安全措施,这样用户就不会获得管理员特权。
身份验证的第一步是检查用户名是否存在,然后检查输入的密码是否与数据库中的用户密码匹配(密码应进行散列)。然后,您可以进行授权以检查用户是否为管理员。
答案 2 :(得分:0)
尽管这似乎是以一种意见的形式提出的,但根据最多个网站(或应用程序)的行为来回答这个问题更有意义。
这实际上取决于上下文。通常,普通用户和管理员用户将使用相同的登录表单。通常,将指定用户是否为管理员的参数存储在用户的数据库表中。单击登录按钮后执行的身份验证方法将验证用户是否存在,针对哈希检查密码,然后检查数据库表以查看用户是否为管理员。
在某些情况下,我看到了一个单独的管理员登录页面,但这很少见。一个示例可能是具有与主站点分离的管理/管理仪表板的网络商店。但是,通常,它们将以相同的形式工作。