PHP令牌安全性
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了PHP令牌安全性,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1260字,纯文字阅读大概需要2分钟。
内容图文
我写了一个需要登录的PHP应用程序.此应用程序是私有的,因此没有新用户可以注册.首先,我使用会话来识别用户,但它会导致平板电脑出现问题,因为他们丢失了会话.我认为这是因为节能运营.
现在我更改了我的应用程序以生成随机安全令牌.因此身份验证如下:
>登录
>生成随机安全令牌并将其保存到磁盘
>将浏览器重定向到http://myhost/site?id=[securitytoken]
>在服务器端,我检查文件是否存在 – 如果是,则验证用户
现在一切都很完美我只是在考虑安全问题.如果用户看到安全令牌,则没有问题.在使用GET时,是否有可能找到令牌?我正在使用SSL.
我试图改变过期时间和cookie生命周期.在普通的计算机上,它正常工作.在桌面上它也可以工作,如果它不进入待机状态(意味着屏幕变黑).如果屏幕变黑,会话很快就会过期.
解决方法:
从网络角度来看,使用GET而不是例如POST是没有固有的漏洞.
您应该记住的唯一警告是GET请求更有可能以您可能不想要的方式存储在客户端上(例如浏览器历史记录).出于这些原因,我通常使用POST请求进行身份验证.
您尝试解决的问题听起来与“remember me” cookies非常相似.链接的博客文章可能有助于减轻设计基于令牌的身份验证系统所涉及的安全风险.
通常,Web应用程序仅限于使用localStorage,并且无法在后台静默读取/写入文件.你是如何完成这个的?
当你说你正在使用SSL时,你真的是指TLS还是你的意思是SSL版本3?如果是SSLv3,我建议更新您的堆栈和Web服务器配置以支持current best standards.使用ECDHE和AES-GCM SHA2或ChaCha20-Poly1305的TLSv1.2是理想的选择.
内容总结
以上是互联网集市为您收集整理的PHP令牌安全性全部内容,希望文章能够帮你解决PHP令牌安全性所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。