繁体 English 中英

为什么OpenCart管理面板上的授权逻辑会像这样（weired）设计？

[英]Why would authorization logic on OpenCart Admin Panel design like this (weired)?

原文 2019-05-08 16:06:44 5 1 php/ authentication/ authorization/ opencart/ opencart-3

我们有许多身份验证和授权方法（OAuth，2FA等），以确保我们的帐户在电子商务平台上的安全性。 我最近仔细研究了OpenCart 3.0.2.0的管理员登录逻辑，并试图弄清楚为什么授权逻辑设计如下：

在DB（Cool）的会话表中存储user_token
在PHP内存中存储记录状态（酷）
在admin用户的浏览器中存储user_token（酷）
给令牌的持续时间到期（酷）
随处可见URL GET变量上携带user_token（???）

我们可以检查来自admin用户的user_token是否有效并且在我们的DB会话表中（登录时检查），然后我们可以跟踪PHP内存中的记录状态，我们也可以检查此会话是否已过期。

问题是：为什么我们仍然需要在url get变量上保持user_token？

1 个解决方案

稍后在互联网上讨论此安全漏洞后添加了user_token变量。

令牌的想法是防止黑客向用户发送带有恶意代码的链接，该链接将使用管理员身份验证的会话来破解opencart管理面板。

有了令牌，OpenCart会检查它并在令牌不正确的情况下注销管理员。

为什么 OpenCart 3 中的图像不能通过管理面板加载？

[英]Why images in OpenCart 3 do not load via admin panel?

无法登录opencart管理面板

[英]Cant login in opencart admin panel

Opencart：如何在管理面板上隐藏菜单？

[英]Opencart: How to hide menus on admin panel?

进口产品在OpenCart管理面板中看不到？

[英]Imported products not visible in OpenCart admin panel?

Opencart更新后的管理面板错误

[英]Admin Panel Errors After Opencart Update

无法加载OpenCart Journal2管理面板

[英]OpenCart Journal2 admin panel not loads

Opencart-在管理面板中调用ajax请求的方法

[英]Opencart - Way to call ajax request in Admin Panel

我的opencart网站管理面板无法正常工作

[英]my opencart website admin panel is not working

opencart需要在管理面板中显示每个产品的选项数量

[英]opencart Need to show option quantity in admin panel per product in

Opencart管理面板新类别创建权限问题

[英]Opencart admin panel new category creating premission issue

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 为什么 OpenCart 3 中的图像不能通过管理面板加载？无法登录opencart管理面板 Opencart：如何在管理面板上隐藏菜单？进口产品在OpenCart管理面板中看不到？ Opencart更新后的管理面板错误无法加载OpenCart Journal2管理面板 Opencart-在管理面板中调用ajax请求的方法我的opencart网站管理面板无法正常工作 opencart需要在管理面板中显示每个产品的选项数量 Opencart管理面板新类别创建权限问题

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM