[英]Why would authorization logic on OpenCart Admin Panel design like this (weired)?
我们有许多身份验证和授权方法(OAuth,2FA等),以确保我们的帐户在电子商务平台上的安全性。 我最近仔细研究了OpenCart 3.0.2.0
的管理员登录逻辑,并试图弄清楚为什么授权逻辑设计如下:
我们可以检查来自admin用户的user_token是否有效并且在我们的DB会话表中(登录时检查),然后我们可以跟踪PHP内存中的记录状态,我们也可以检查此会话是否已过期。
问题是:为什么我们仍然需要在url get变量上保持user_token?
稍后在互联网上讨论此安全漏洞后添加了user_token变量。
令牌的想法是防止黑客向用户发送带有恶意代码的链接,该链接将使用管理员身份验证的会话来破解opencart管理面板。
有了令牌,OpenCart会检查它并在令牌不正确的情况下注销管理员。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.