使用PHP安全地允许访问网站的安全区域
提问于 2020-01-01 18:56:51
我是一个网站,需要一个安全的区域,为网站所有者轻松上传新内容到。因为这是一个相对简单的网站,没有账户系统。我只需为他们提供一个URL,然后输入密码(以带有ReCaptcha的形式)输入安全区域。我的问题是,我如何允许访问,只有在他们被验证。以下是我考虑过的选择:
- 在我从验证
.php重定向用户之前,设置一个会话,该文件是表单发送他们的文件。然后,每次加载该页面时检查会话。 - 将安全区域文件命名为完全随机的文件,以便无法猜测。这不是很安全,所以我不想这么做。
- 使用验证
.php文件作为安全区域(并不理想,但它是我所能想到的最安全的方法)
还有什么我错过的选择吗?我在网上找不到任何与此相关的东西。这个网站不需要是超级安全,但我真的不想让错误的人进入。我也会问这个问题,作为以后的最佳实践。
回答 2
Software Engineering用户
发布于 2020-01-01 23:26:22
实际上,您确实有一个帐户系统,只有一个非常有限的系统只支持一个经过身份验证的帐户。
为了防止未经身份验证的对管理页的访问,您应该使用与更复杂的帐户系统所使用的相同的机制来保护只有经过身份验证的用户才能访问的页面。
Software Engineering用户
发布于 2020-01-01 23:35:32
我会用一段时间。会话有点过时,有些不受欢迎,因为它们可能不能很好地扩展,但是您的用例不需要扩展。
本质上,大多数身份验证方案(除了要求您在每个请求中发送用户名/密码的基本身份验证方案)都由一个登录步骤组成,在该步骤中,当客户端显示正确的凭据时生成某种令牌,以及在请求包含此令牌时被视为身份验证的登录阶段。无论您使用会话令牌还是Authentication标头内容,对于一个简单的服务器应用程序来说都是无关紧要的。对于多个服务器场景,您可能希望避免会话,因为它们意味着需要在服务实例之间共享状态。
页面原文内容由Software Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://softwareengineering.stackexchange.com/questions/403178
复制相关文章
![极兔速递电子面单API接口-快递鸟[通俗易懂]](https://ask.qcloudimg.com/http-save/yehe-8223537/7ca2e4213817c30ff9af1fa5e1586a85.jpeg)
![在layer中定义DevOps[DevOps]](https://ask.qcloudimg.com/http-save/6790159/ql165mg28z.png)
![PHP 开发学习[9] —— 快递查询的设计实现](https://ask.qcloudimg.com/http-save/yehe-3056046/oyaals558f.png)
点击加载更多
腾讯云开发者
