问题标签 [login]

我正在尝试从我的应用程序中创建一个 SQL 服务器登录名和数据库用户，以及一个自定义应用程序用户行。我希望这些用户能够创建其他用户——即应用程序将控制谁可以/不能创建用户，但我需要所有用户都拥有创建 SQL 服务器登录名和数据库用户的权限。

我已经使服务器登录权限正常工作-即现有用户/登录名可以创建新登录名-通过将登录名添加到“securityadmin”服务器角色-授予“ALTER ANY LOGIN”权限。

我尝试对数据库用户做同样的事情——将它们添加到“db_accessadmin”数据库角色中——这应该授予 CREATE USER 所需的 ALTER ANY USER 权限。

但是，每当我尝试使用具有上述权限的用户创建新的数据库用户时，都会出现权限异常。

我已经尝试手动将 ALTER ANY USER 权限授予特定用户（GRANT ALTER ANY USER TO demouser），但这也不起作用。

我目前正在从事一个跨越多个领域的项目。我想要的是用户能够登录一个站点并同时登录所有其他站点。

用户会话存储在数据库中，我在每个域上设置的 cookie 都包含会话 ID。

所以基本上当用户登录到 example.com 时，会使用他们的会话 ID 创建一个 cookie，会话数据存储在数据库中。完成此操作后，需要在具有此唯一会话 ID 的所有其他域上创建一个 cookie，以便当用户从一个站点到另一个站点时，他们将自动登录。

现在我找到了一种在 Firefox 中执行此操作的方法（使用在其他域上执行 PHP 脚本的图像标签，本质上是在不同域上创建不同的 cookie）但是这种方法在 IE 中不起作用（没有测试过 Opera 或Safari 等）。

有没有人对我如何让它在 IE 中工作有任何想法？

这是一个咆哮，也是一个问题。

有些网站，例如 Facebook，您一次只想登录一个帐户。

但是从博客网站到电子邮件的所有内容总是会迫使您在登录另一个帐户之前先注销。

而且我了解安全隐患，以及它将如何使基于 cookie 的会话变得更加复杂，但为什么我们看不到更多呢？

为什么同时来自单个客户端的多个用户是个坏主意？

我是 C# 和 .NET 编程的新手。我想设计一个打开一个小的登录屏幕的应用程序，当用户按下“登录”按钮时，我的程序应该关闭登录表单并传递给一个新表单。我怎样才能实现这个简单的过程？

谢谢。

我正在开发一个基于 PHP 的登录系统。每个用户都有一个 ID（一个数字）和一个密码，这些密码存储为盐渍哈希。

我能够确定登录是否成功，但现在我需要将该信息存储在某处（以便用户不会永久注销）。

过去，我玩过 $_SESSION 变量。但是，这些似乎在用户离开浏览器时被删除，这是不希望的。另外，我不能“假设”用户不会试图欺骗系统，所以它必须是安全的。

所以，这是我的问题：

1. 我应该使用$_SESSIONor$_COOKIE吗？这些方法的主要优点是什么？
2. 如何实现“记住我”复选框？
3. 哪些信息应该存储在 session/cookie 变量中？

请注意，在这个特定问题中没有考虑数据库安全问题。

关于数字 3，我的意思是：

• 我应该将用户的 ID 和哈希密码存储在 cookie/会话中，还是
• 我应该将用户的 ID 和非哈希密码存储在 cookie/会话中，还是
• 我应该存储“SessionID”和密码（散列还是非散列？）或
• 我应该存储“SessionID”、“ID”和密码（再次，散列或非散列）？

我想让我的网站尽可能安全、高效和用户友好。如果采用基于 SessionID 的方法，我也会感谢有关如何将其存储在数据库中的一些解释。

先感谢您

编辑：Eran 和 Brian 的答案结合起来似乎是我需要的。不幸的是，我只能将其中一个标记为已接受。我将尝试继续实施，看看哪个更有用。

我对 Javascript 很陌生，我确信这是一个简单的解决方法，但我无法弄清楚。

我正在使用此页面中代码的略微修改版本，我想通过输入信息并按 Enter 来使表单工作，而不必单击按钮。

仅供参考，我已阅读此主题，但无法从那里得出自己的答案。我尝试将类型从“按钮”更改为“提交”，但登录无效。我也尝试将“onlick”更改为“onsubmit”并且遇到了同样的问题。

你如何在 CodeIgniter 中实现这一点？

我在我的共享点自定义母版页上使用了 asp.net 登录控件。一切正常，我可以毫无问题地登录我的网站。

但是，我想在用户登录后运行一些代码，或者根据用户的角色执行重定向。

以前有人做过这种事情吗？

作为对最近Twitter 劫持和Jeff 在 Dictionary Attacks 上的帖子的回应，保护您的网站免受暴力登录攻击的最佳方法是什么？

Jeff 的帖子建议为每次尝试登录增加延迟，评论中的建议是在第二次失败尝试后添加验证码。

这两个似乎都是好主意，但你怎么知道它是什么“尝试次数”？您不能依赖会话 ID（因为攻击者每次都可以更改它）或 IP 地址（更好，但容易受到僵尸网络的攻击）。使用延迟方法简单地将其登录到用户名可以锁定合法用户（或至少使登录过程对他们来说非常慢）。

想法？建议？

这是与一般 SSO best-practices 上的这个问题类似的内容。处理禁用或出于任何原因无法访问的中央身份提供者的最佳方法是什么。如果您的网站允许用户使用他们集中存储的凭据登录，而中央服务不工作或无法访问，您是否：

• 允许用户在本地站点上重新输入他们的凭据，以便他们可以使用 Web 应用程序（或内容管理系统或其他）的本机登录设施

• 允许用户请求他们可以在 Web 应用程序本身上使用的另一组辅助凭据（即，当 IDP 关闭时他们可以使用的单独密码）[注意：显然这违背了“单一凭据”的目标，只是抛弃了所有想法]。

• 允许用户使用相同凭据的多个不同维护者中的任何一个登录（通过向他们提供多个链接到多个提供者，然后尝试每个链接，直到其中一个真正连接并工作）

出于可能显而易见的原因，上述这些解决方案似乎都没有吸引力，因此在您使用最佳替代方法回答时，请随意将它们放在“最差实践”列表中。