[英]How would you implement FORM based authentication without a backing database?
我有一个PHP脚本作为CGI程序运行,HTTP Authenticate
标头被吃掉并吐出。 所以我想实现某种基于FORM的身份验证。 作为附加约束,没有数据库,因此不能存储会话数据。
我非常愿意拥有主用户名和密码。 我只需要保护应用程序免受不知道这些凭据的入侵者的侵害。
那你将如何实现呢?
饼干?
我可以提供表单,如果它有效,我可以发回一个cookie,它是IP地址的哈希密码。 然后我可以阻止页面呈现,除非事物正确解密。 但我不知道如何在PHP中实现它。
你真的需要一张表格吗? 无论你做什么,你都会受到已知用户名和密码的限制。 如果他们知道这一点,他们会得到你的神奇饼干。 如果他们不知道秘密,您希望阻止他们查看页面,并且基本授权可以做到这一点,易于设置,并且您不需要做很多工作。
如果Web服务器为您处理访问控制,您真的需要查看Authorization标头吗?
此外,如果您将应用程序提供给已知的人员列表(而不是公共人员),则可以提供基于Web服务器的访问权限,以及其他因素,例如传入的IP地址,客户端证书以及许多其他因素。配置问题而不是编程问题。 如果您解释了安全限制,我们可能会提供更好的解决方案。
祝好运, :)
如果您当前正在使用Authenticate,那么您可能已经拥有了htpasswd文件。 如果您想继续使用该文件,但切换到使用基于FORM的身份验证而不是通过Authenticate标头,则可以使用PHP脚本使用相同的htpasswd文件并使用会话来维护身份验证状态。
快速谷歌搜索php htpasswd显示这个页面有一个PHP函数来检查htpasswd的凭据。 您可以将它集成(假设您将会话设置为自动启动),并使用以下代码:
// At the top of your 'private' page(s):
if($_SESSION['authenticated'] !== TRUE) {
header('Location: /login.php');
die();
}
// the target of the POST form from login.php
if(http_authenticate($_POST['username'], $_POST['password']))
$_SESSION['authenticated'] = TRUE;
...关于salt,在哈希盐中添加用户名将阻止有人知道您的盐并且可以访问您的密码文件来编写彩虹表并破解用户密码的数量。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.