2012-08-13 35 views
0

我对PHP很陌生,请耐心等待。我创建了一个我使用基本身份验证和SSL(Apache服务器)保护的网站。但是,由于用户标识和密码以纯文本形式传输,因此这种情况是安全的。我已经考虑过摘要认证,但是由于不相关的原因,这并不太合适。使用HTTPS和cookies安全地传输密码

因此,我现在正在考虑SSL加密整个网站(事实已经如此),并使用基于cookie的机制进行会话身份验证。我已阅读并(我相信)了解如何使用PHP设置和取消设置Cookie的基本知识,但我无法找到一个如何实现安全登录机制的好例子。然而,这肯定是一种非常常见的登录情况,因此我认为一些预制的登录页面可能已经可用于轻松定制。

如果有人能够指导我如何实施基于cookie的安全登录的分步教程,我将非常感激!提前谢谢了!

回答

1

如果您对整个站点使用SSL,则用户名和密码不会以纯文本形式传输,而是作为加密连接的一部分传输。

与SSL结合使用的基本身份验证对于大多数Web应用程序来说是一个足够安全的设置。

+0

科多,感谢您的快速和正确的回应。但是,我应该提到想要使特定用户有条件访问站点的某些部分。但是也许我可以通过在Apache中定义几个虚拟服务器来实现这个目标 - 或者更好地使用cookie机制来完成这项工作? – aag 2012-08-13 20:42:14

1

这里有一些术语混淆。首先,你说错在通过SSL发送密码是不安全的。其次,你认证与授权混淆。认证证明用户是他自称的人。用户名和密码这样做,这部分就完成了。那时你为用户创建一个会话,包含他的身份和他可能承担的角色。会话通过cookie保存在请求中。然后,当他访问站点的某些部分时,您必须检查他的角色,看他们是否与您定义为访问该区域所需的角色相匹配。您可以通过Apache配置完成所有这些工作,而无需编写任何代码。

+0

谢谢。我会做我的阅读,并希望实现我的想法! – aag 2012-08-14 04:12:46