[英]Why would authorization logic on OpenCart Admin Panel design like this (weired)?
我們有許多身份驗證和授權方法(OAuth,2FA等),以確保我們的帳戶在電子商務平台上的安全性。 我最近仔細研究了OpenCart 3.0.2.0
的管理員登錄邏輯,並試圖弄清楚為什么授權邏輯設計如下:
我們可以檢查來自admin用戶的user_token是否有效並且在我們的DB會話表中(登錄時檢查),然后我們可以跟蹤PHP內存中的記錄狀態,我們也可以檢查此會話是否已過期。
問題是:為什么我們仍然需要在url get變量上保持user_token?
稍后在互聯網上討論此安全漏洞后添加了user_token變量。
令牌的想法是防止黑客向用戶發送帶有惡意代碼的鏈接,該鏈接將使用管理員身份驗證的會話來破解opencart管理面板。
有了令牌,OpenCart會檢查它並在令牌不正確的情況下注銷管理員。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.