实现登录/注册功能

Question

所以我是一个中级网页设计师。我想制作一个网站，让我的大学的学生通过广告工作和申请进行协作。这是一所数字艺术大学，合作对每个人都很重要。

我想让这个网站对我的uni学生是独家的，因此需要注册/登录功能，我不知道我需要什么或如何去做。我猜数据库是必需的？我有数据库知识，所以不应该是一个问题。

我还希望使注册功能对具有特定于我的uni的电子邮件域的学生专属。我知道这是可能的，但猜测这需要“验证”电子邮件自动发送，这使事情变得更加困难。

所以我问的是一些关于此事的指导，如果任何人有经验或知道我可以使用一些好的资源，那会很好。 ps。我对每个成员都有“个人资料”和页面不感兴趣，只是希望它成为一项安全功能。

非常感谢！

Answer 1

如果不了解更多关于环境的知识，我无法真正给你一个完美的答案，但我可以指出你正确的方向。但是，在我开始之前，让我这样说：

警告：用户在站点间重复使用密码。因此，虽然您的网站的密码数据库暴露可能不是一个主要问题（听起来不像是存储信用卡号码或其他敏感材料），但您最终可能会暴露其他网站的用户。

这里有一些想法在为了尝试最简单的（即：最安全）在重（即：风险最大）：

1. 单点登录（SSO）：大小适中的大多数组织都有一些SSO机制到位。这是允许您的程序使用他们的学校登录名和密码要求用户登录他们的学校帐户。如果登录成功，您的程序将安全地获得刚认证的用户的电子邮件地址。您需要向学校IT部门的人员询问这一点。询问他们“您是否支持可以连接到我的应用程序的OAUTH，SAML或类似的SSO？”应该让你开始。可能性是他们确实有SSO机制，但可能不会让随机应用程序连接到它。你需要看看。我最喜欢这个解决方案，因为它可以让你完全脱离认证业务。
2. 使用您的Web框架的认证系统：许多Web框架支持开箱即用认证。例如，如果您使用的是JBoss或.NET，则可以利用其认证系统。你需要阅读你正在使用的框架。我很确定PHP不支持身份验证。所以如果你使用这个选项不可用。
3. 找到一个你可以利用的认证库：只要开始搜索open source authentication framework PHP或者你正在使用的任何框架。如果你找到一个，你只需要安装和配置它。
4. 编写自己的：一般策略是存储用户名和密码的哈希散列。安全密码存储上的This reference应该有所帮助。

作为安全性的一般规则，您可以利用现有服务的次数越多，解决方案就越安全。因此，在获得创意之前，尽量利用其他人的工作。