我正在尝试编写一个允许用户保持登录状态的页面。如果站点具有SSL,设置一个会话变量就足够了吗? 我正在检查一个会话变量,该变量只是说该人已登录。

 $_SESSION['LOGIN'] = true;

在每个页面上,我只是检查是否设置了此值。 如果是这样,让他们有权访问。 如果没有,请重新登录。 SSL足够安全吗? 或者我应该做其他检查吗?

===============>>#1 票数:2 已采纳

会话存储在服务器上,因此在这种情况下SSL无关紧要。 当代理使用自己的页面来窃取信息时,SSL可以保护用户免受欺骗。 SSL通过加密页面来防止这种情况。 会话永远不会传输。 这就足够了,但是如果您想真正安全,则可以使用会话中存储的用户名和密码在每个页面加载时重新执行身份验证。

===============>>#2 票数:1

如果您的系统只允许注册用户,即每个人都必须输入身份验证,那么您需要确保以下内容:

  1. 当用户登录时:输入用户名和密码并单击输入,如果他们单击后退按钮(在浏览器上),则会自动注销。 如果没有,有人可以登录,单击后退按钮并解释他们已注销,离开他们的办公桌,其他人点击前进按钮并获得未经授权的访问。

  2. 当用户注销时,如果他们单击后退按钮,则会将其重定向到索引页面。 如果不是这样,则有人可以注销,离开办公桌,其他人单击后退浏览器按钮即可访问系统。

  ask by Frankie translate from so

未解决问题?本站智能推荐:

关注微信公众号