我正在开发一个 php web 应用程序的登录系统。我知道滚动你自己的系统的危险,所以我希望使用某种预先构建的库。
我已经在几个地方看到了 zend_auth 的推荐。我还听说 zend_auth 可以独立于 Zend 框架的其余部分使用。这会更好,因为我的应用程序不依赖任何框架,而且我不愿意安装整个框架纯粹用于身份验证。
我以前没有使用 Zend 的经验,并且我发现手册中的文档有点混乱。我想知道:有没有人知道任何有助于解释如何建立一个基于 zend_auth 但不依赖于 Zend 框架其余部分的简单身份验证系统的资源?
感谢您的帮助,
【问题讨论】:
标签: php zend-framework authentication login zend-auth
我知道滚动自己的系统的危险
...
我发现手册中的文档有点混乱
那么由于您所说的原因,这不是正确的解决方案。如果您不了解如何正确使用它,它就永远不会安全,并且您无法提供任何保证它适合用途。
您可以考虑向 Zend 支付费用以获得支持联系人并寻求帮助。
使用现成代码还有其他问题。如果其中存在缺陷,则难以识别,难以解决,然后难以合并回供应商的修复程序。此外,虽然这确实是通过晦涩难懂的安全论据(因此不是一个很好的理由),但您编写的代码对任何潜在的攻击者都是不可见的,直到您发布它(如果有的话),同时使用提供的现成产品作为来源,如果存在漏洞,那么任何脚本小子都可以对您的网站进行攻击。
C.
【讨论】:
对于安全认证/自动化来说,最重要的是整个应用程序只有一个单一的入口点,如 index.php,所有内容都被重写。否则你必须关心每个被调用的文件以正确包含和检查授权等。
zend_auth 本身并不会真正给您额外的安全性。它更像是一个可以连接到任何东西的接口。所以它所做的主要是您的应用程序始终使用相同的代码进行身份验证/授权,但可以依赖不同的数据。
【讨论】: