В настоящее время я создаю имя пользователя / пароль / управление сеансом / и т. Д. система для веб-сайта, над которым я работал. Я провел весь день, читая всевозможные статьи по этой теме, и теперь гораздо лучше понимаю, что мне нужно делать, чем раньше. Я более или менее настроен на серверную часть вещей, и мне просто нужно кодировать то, что я узнал. Однако одна вещь, которую я не смог выяснить самостоятельно, - это как лучше всего получить конфиденциальную информацию (имя пользователя / пароль) на сервер от клиента.

Я планирую создать страницу входа / регистрации в интерфейсе моего сайта (поэтому, когда вы зайдете на mysite.com, вы просто увидите форму или что-то в этом роде), а затем после регистрации или входа in, вы получите фактическое веб-приложение. Каковы общие методы отправки информации для входа на сервер? Хешируется ли комбинация имени пользователя и пароля, а затем отправляется ли она в виде файла cookie в заголовке пакета? или его можно отправить прямо как JSON (при использовании javascript)? Думаю, я действительно понятия не имею, что такое норма, и почему-то не смог найти действительно полезную информацию в google или stackoverflow, отсюда и этот вопрос.

Если у вас, ребята, есть какая-либо другая полезная информация о системах входа на сайты, я хотел бы услышать, что вы хотите сказать, поскольку, опять же, это для меня совершенно в новинку.

Кроме того, связанный с этим вопрос, если у меня это работает, стандартно ли иметь на компьютере пользователя файл cookie, который идентифицирует их, чтобы им не приходилось входить в систему каждый раз, когда они посещают? Это то, что проверяет, что "Оставаться в системе!" коробка делает на всех этих сайтах?

Всего наилучшего и спасибо

1
thisissami 28 Авг 2011 в 09:45

2 ответа

Лучший ответ

Я рекомендую прочитать собственное полное руководство по аутентификации веб-сайтов на основе форм . Ответы подробно описывают несколько лучших практик для обработки входа пользователя в систему, и, скорее всего, они ответят на многие ваши вопросы относительно аутентификации для пользователей.

1
Community 23 Май 2017 в 12:19

Лучше всего использовать HTTPS хотя бы для своей страницы входа. Вы должны заплатить стороннему центру сертификации, чтобы использовать официальный сертификат или использовать тот, который вы сгенерировали, но это приведет к тому, что ваши пользователи будут сталкиваться с различными ужасными предупреждениями от своих браузеров.

Использование HTTPS (HTTP, защищенного с помощью SSL / TLS) шифрует весь трафик между веб-сайтом и клиентом, который заботится о безопасности транспорта за вас.

Свернуть собственную схему безопасности ОЧЕНЬ сложно. Процесс, который вы описываете как часть своего вопроса, легко взломать, поскольку хеширование необходимо выполнять на клиенте. Это процесс, который легко реконструировать даже случайный хакер.

И ответ на ваш дополнительный вопрос - да. Это куки.

1
Merlyn Morgan-Graham 28 Авг 2011 в 06:08