php - PHP 中的安全身份验证

Question

让我重新表述我的最后一个问题，我可以使用哪些 PHP 库或框架进行专业和安全的身份验证？如果您的想法有助于实现帐户控制面板功能（更改密码、编辑配置文件），则可加分。

你的专业人士是如何做到的？您是否曾经使用 PHP 进行过可信赖的身份验证？

Answer 1

我个人非常喜欢 symfony 框架和它的 sfGuard 插件。它提供了非常容易配置的身份验证。它对所有密码进行散列和加盐处理，并提供一个后端界面来管理用户、组和权限。

Symfonys 路由和配置使得在每个页面甚至网站的“区域”上设置安全标志变得非常简单。在构建安全网站时，我无需寻找其他地方。

• Symfony
• sfGuard

Answer 2

我开发的一个高级认证库是 ulogin.sourceforge.net。它支持记住我，各种暴力预防方法，还可以保护您的会话免受劫持/固定/重播。它还支持多用户数据库，如 sql/ldap 等。如果你不使用像 Cake/CI 这样的 PHP 框架，我真诚地推荐它。

Answer 3

你检查过Drupal吗？它通过 ssl 提供身份验证，并且不会将密码作为明文存储在数据库中。而且它的“控制面板”功能还不错。

Answer 4

ESAPI有一个你可以使用的通用框架，它需要一些重新布线，但它对于你正在寻找的东西来说是可靠的。当然，通过 SSL 进行身份验证，不要在客户端上存储身份验证信息等