い実施形態に基づく認証なバックデータベース?

Question

しているPHPスクリプトとしてCGIプログラムのHTTP Authenticate ヘッダーが食べられると吐き出します。ていきたいと思いますので何らかの対策はいかなる形式に基づく認証を行います。として追加の制約がなデータベースでのセッションデータを保存できます。

私はとても開放するためにマスタのユーザー名とパスワードを発行いたします。んだの保護のために必要があるの申請からの侵入者の人となり、これらの情報。

どのようにしていを実行します。

クッキー?

私を提供するものと考えられるのか検証まで送り返クッキーとなるハッシュのIPアドレスに来て秘密のコードです。その後の防止のページからレンダリングなものを復号化する正しいがわからない実装方法をクリアしました。

Answer 1

数えきれいです。

1. htaccess --いウェブサーバの取扱いの確保のページの理由の如何を問わずかなcgi形に基づくが）。
2. クッキーを使用、ある種のハッシュアルゴリズム(md5あり)、パスワードでログラムのパス名のファイルの各行にはファイルをユーザー名:passwordhash.ください 塩 お正のための安全対虹ます。(このメソッドはナイーブ...すると 非常に ご注意セキュリティればこのルート)
3. のものを使っておけば間違いないように sqlite データベースで取り扱認証を行います。Sqliteはコンパクトでシンプルなのに十分ではお客様のニーズもされない場合、大きなdbの英語版をご覧下さい

理論的には、できる店舗のセッションデータをフラットファイルの場合でも、できないデータベース化します。

Answer 2

さて、現在お使いの認証ありについて htpasswd ファイルです。うまく使い続けるファイルがスイッチを使用形態に基づく認証を介さずに認証ヘッダーをお使いいただけますのでPHPスクリプトのhtpasswdファイルを利用セッションを維持する認証状況。

迅速検索のためのphp htpasswd明らかに このページ とPHPの機能を確認資格に対してhtpasswd.きの統合までのと仮定すセッションに設定autostart)の一部のようにします:

// At the top of your 'private' page(s):
if($_SESSION['authenticated'] !== TRUE) {
    header('Location: /login.php');
    die();
}

// the target of the POST form from login.php
if(http_authenticate($_POST['username'], $_POST['password']))
    $_SESSION['authenticated'] = TRUE;

Answer 3

いすものです。なんだな、ユーザー名とパスワードが知られている。を知ってもらえれば、これに限定されるものではあく魔法のクッキーを提供します。したい防止のためのページに決めなければならないその秘密を知って、基本認証は、環境にやさしい、いないので、多くの労力と日数が必要となる。

する必要があるAuthorizationヘッダの場合、webサーバにアクセス制御ですか？

ものであれば、提供への応用知のリストでは、ご提供できるようにサーバベースのアクセスその他の要因などの着信のIPアドレス、クライアント証明書、および他の多くのものについては、すべての設定でプラグインです。またセキュリティ制限していますが、提供できることをよりよい解決策です。

良:)

Answer 4

...約塩、追加のユーザー名にハッシュ塩分を防ぐ人にはお塩とアクセスパスワードファイルを書"レインボーテーブルおよびき裂数のユーザーのパスワードになります。