我正在开发一个 php web 应用程序的登录系统。我知道滚动你自己的系统的危险,所以我希望使用某种预先构建的库。
我已经在几个地方看到了 zend_auth 推荐。我还听说 zend_auth 可以独立于 Zend 框架的其余部分使用。这将是可取的,因为我的应用程序不依赖任何框架,并且我不愿意纯粹为身份验证安装整个框架。
我以前没有使用 Zend 的经验,并且我发现手册中的文档有点混乱。我想知道:有没有人知道任何有助于解释如何建立一个基于 zend_auth 但不依赖于 Zend 框架其余部分的简单身份验证系统的资源?
谢谢你的帮助,
我知道滚动自己的系统的危险
...
我发现手册中的文档有点混乱
那么,由于您所说的原因,这不是正确的解决方案。如果您不了解如何正确使用它,它将永远不会安全,并且您无法提供任何保证它适合用途。
您可以考虑向 Zend 付费以获得支持联系人并寻求帮助。
使用现成代码还有其他问题。如果其中存在缺陷,则难以识别,难以解决,然后难以合并回供应商的修复程序。此外,虽然这确实是一个默默无闻的安全论据(因此不是一个很好的理由),但您编写的代码对任何潜在的攻击者都是不可见的,直到您发布它(如果有的话),而使用提供的现成产品作为来源,如果存在漏洞,那么任何脚本小子都可以对您的站点进行攻击。
C。
安全认证/授权最重要的是整个应用程序只有一个单一入口点的概念,如 index.php,所有内容都被重写。否则你必须关心每个被调用的文件以正确包含和检查授权等。
zend_auth 本身并不会真正给您额外的安全性。它更像是一个可以连接到任何东西的接口。所以它所做的主要是您的应用程序始终使用相同的代码进行身份验证/授权,但可以依赖不同的数据。