我在 cakephp 中遇到了身份验证问题,当从外部站点提供凭据时,身份验证将起作用,然后立即丢失,站点再次提示输入登录信息。
This guy 确定 cakephp 会话 cookie 正在更改。他的解决方案是将安全性设置为低。
似乎在中等或高安全性中,Cake 会仔细检查 推荐人...但是在单击身份验证时,安全性低下可以正常工作- 来自 hotmail 或 yahoo 等外部网站的受保护链接
这个解决方案也对我有用,但是通过将 cakephp 设置为“低”安全性我会失去什么?
【问题讨论】:
当安全性很高时,每个请求都会生成一个新的会话 ID。在这种情况下,通过共享会话 cookie 在两个应用程序之间创建单点登录解决方案实际上是不可能的,因为 Cake 会不断更改会话 ID 而不会通知其他应用程序。
当安全性为中等(或更高)时,启用session.referer_check。
当安全性较低时,您没有上述任何一个功能,但它仍然与任何普通的 PHP 网站/CMS 一样安全。
【讨论】:
我知道的主要事情是会话超时,根据 app/config/core.php cmets,您的会话超时将乘以一个较小的数字。
这本书支持了这一点,
CakePHP 的安全级别。 'Session.timeout' 中定义的会话超时时间根据此处的设置相乘。 有效值: “高” = x 10 “中” = x 100 “低” = x 300 'high' 和 'medium' 也启用 session.referer_check 如果 'Security.level' 设置为 'high',CakePHP 会话 ID 也会在请求之间重新生成。
参考:http://book.cakephp.org/view/44/CakePHP-Core-Configuration-Variables
所以另一件事看起来是推荐人检查。
session.referer_check 包含您要检查每个 HTTP 引荐来源的子字符串。如果客户端发送了Referer并且没有找到子字符串,则嵌入的会话ID将被标记为无效。默认为空字符串。
所以从外观上看,您失去的是准确确定您正在处理谁和哪些会话的能力。
我在丢失会话时遇到了类似的问题,许多答案都指向使用 $this->requestAction(),因为它基本上会将请求从应用程序中卷出,因此它看起来像是正在创建另一个具有高安全性的会话.
许多谷歌答案抛出的另一件事是在您的 app/config/core.php 中关闭 Session.checkAgent,因为这意味着不会检查会话。这至少可以防止我丢失页面请求之间的会话信息。
:)
【讨论】:
Session.timeout 的值不会在最新版本的 Cake(可能是 2.0 或 2.1 及更高版本)中相乘。
requestAction() 通过标准请求处理逻辑以编程方式执行操作,就好像它是真实请求一样。不使用 curl 等。
设置为“低”时会发生两件事
1)超时时间更大
2)如果会话劫持很容易,那就更容易了!因为会话会在请求之间重新生成,就像设置为“高”时一样!
没有别的了。
顺便说一句,您可以为特定页面更改安全级别或会话超时或两者兼而有之...所以这不是不可撤销的选择
【讨论】:
我认为将其设置为低的唯一后果是会话时间乘以 300,而不是高和中的 10 或 100,并且会话参考检查您是否遇到问题。
更新: 如果您之前将此设置为高,您还会在请求之间重新生成会话 ID。
【讨论】: