¿Por qué la gente no usa < CFLOGIN > ;?
https://stackoverflow.com/questions/604909
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Por qué las personas no usan CFLOGIN? Recuerdo que tuve un problema con el CF7 hace algunos meses, pero no podía recordar cuál era el problema.
Solución
Uso cflogin todo el tiempo y funciona muy bien. Puede ser un poco difícil trabajar de la forma que desee, pero los beneficios son enormes. Ser capaz de ajustar su aplicación con roles de usuario se encarga de la mayor parte de la personalización basada en mis derechos. Solía ??haber algunos problemas con la administración de sesiones que hacían difícil trabajar con ellos. Activar las sesiones j2ee parece hacer que la mayoría de esos problemas desaparezcan.
Algunos de los marcos populares no son compatibles con cflogin, por lo que podría ser una de las razones por las que no se ve mucho. Tienden a tener su propio enfoque para asegurar las características de la aplicación.
Creo que mucha gente se siente frustrada con esto porque es un poco peculiar y se dan por vencidos. Otros tienen necesidades de seguridad más complicadas que no están cubiertas completamente por cflogin, por lo que terminan escribiendo su propio sistema. Específicamente, no hay una forma fácil de lidiar con los derechos por contenido activo.
Otros consejos
El único problema que he tenido es con los roles en CF8. Está brillantemente implementado, y un poco cruel que no funciona como debería. Tal vez en CF9.
En cualquier caso, crear su propio sistema basado en roles (asignarle al usuario una variable de sesión con una lista separada por comas de niveles de acceso con los que el sistema puede verificar) no es muy difícil de lograr y lo superé.
Lo bueno de cfLogin que probablemente aún vale la pena usar es cómo se vincula con el monitor del servidor para ver cuántas personas han iniciado sesión, etc.
El punto anterior sobre el uso de jsession es cierto, vale la pena hacerlo en todas las aplicaciones cf. Una de las mejores cosas en las que me arrastré para comenzar a trabajar como lo quería.
CFLogin no se usa por 3 razones.
Primero , es un poco delicado, un poco extraño, y no funciona cuántos pensarían. Pones un código aquí, y si un usuario no ha iniciado sesión lo ejecuta ... eso es extraño, ¿sabes? Tampoco ayudó que hubo algunos errores desde el principio.
Segundo , aunque tiene las funciones básicas de seguridad requeridas para una aplicación web, no va más allá. Realmente no se puede extender fácilmente. ¿Quién dice que así es como lo quieren todos?
Tercer y, lo que es más realista, es porque la gente ya ha resuelto ese problema. El área problemática de asegurar una aplicación, autenticación y autorización ha sido desarrollada en la comunidad el tiempo suficiente y la mayoría de las personas saben cómo hacerlo. CFLogin está reinventando la puerta. Es demasiado poco, demasiado tarde.
Ahora, eso no quiere decir que nadie lo use. Personalmente lo he usado varias veces con éxito básico, pero no hay razón para tocar una campana. Para la mayoría de mis aplicaciones, tiene más sentido no usar CFLogin. Los dominios problemáticos son de esta manera, y CFLogin no siempre lo resuelve de la manera más inteligente.
Tenga en cuenta que CFLOGIN tiene un problema con la Autenticación HTTP Básica donde puede continuar enviando su ID de Usuario y Contraseña incluso después de que haya llamado a CFLOGOUT.
Sé que esto ha alejado a algunos usuarios avanzados.
Aquí hay un extracto de LiveDocs
Precaución: si utiliza un servidor web autenticación o cualquier forma autenticación que utiliza un HTTP básico Encabezado de autorización, el navegador. sigue enviando la autentificación información a su aplicación hasta el usuario cierra el navegador, o en Algunos casos, todas las ventanas abiertas del navegador. Como resultado, después de que el usuario cierre la sesión y tu aplicación usa el cflogout etiqueta, hasta que el navegador se cierre, la Estructura cflogin en la etiqueta cflogin contendrá el usuario desconectado ID de usuario y contraseña. Si un usuario inicia sesión y no cierra el navegador, otro usuario podría acceder a las páginas con inicio de sesión del primer usuario.
En mi caso (supongo que para otras personas también) la razón principal se está moviendo desde otra plataforma, por ejemplo PHP. Quiero decir que ya tengo algunos conocimientos y hábitos en el desarrollo de ACL y comencé a usarlos en CF.
Sé cómo hacerlo práctico para el usuario, flexible para el desarrollador y seguro, y realmente no necesito para cambiar a cflogin.
A veces sucede lo mismo con otras cosas, por ejemplo, en la mayoría de los casos, prefiero implementar la validación del lado del cliente utilizando su propio JS en lugar de usar cfform / cfinput.
Porque (todavía!) tiene errores serios, como este:
http: // www.raymondcamden.com/index.cfm/2009/8/7/Watch-out-for-this-CFLOGIN-Bug
