我正在为php web应用程序的登录系统工作。我知道滚动你自己的系统的危险,所以我希望使用某种预建的库。独立于Zend框架的其余部分使用zend_auth的简单认证
我在几个地方见过zend_auth推荐。我也听说zend_auth可以独立于Zend框架的其他部分。这将是更可取的,因为我的应用程序不依赖任何框架,并且我不愿意纯粹为auth安装整个框架。
我以前没有Zend的经验,我发现手册中的文档有点混乱。我想知道:有没有人知道任何资源,这将有助于解释如何建立一个基于zend_auth的简单认证系统,但不依赖于其余的Zend框架?
感谢您的帮助,
我知道滚动自己的系统
的危险......
我发现的文档手册中有点混淆
然后它不是th e正确的解决方案,正是你所说的原因。如果您不知道如何正确使用它,它将永远不会安全,您也不能提供任何适合其用途的保证。
您可能会考虑向Zend支付联系方式并寻求帮助。
使用现成代码还有其他问题。如果它存在缺陷,难以确定,难以解决,然后难以合并供应商修复程序。另外,虽然这确实是一个默默无闻的争论(因此不是一个好的基础),但是您写的代码对于任何潜在的攻击者都是不可见的,除非您发布它(如果有的话),而使用提供的现成产品作为来源,如果存在漏洞,那么任何脚本kiddy都可以针对您的网站运行攻击。
C.
用于安全认证/ autorization最重要的是在整个应用程序只有一个的单层入口点像的index.php一切rewrited的概念。否则你不得不照顾每个被调用的文件,包括并检查授权等。
zend_auth自己不会真的给你一个额外的安全。它更像是一个可以连接到任何东西的接口。所以它所做的主要是你的应用程序总是使用相同的代码进行认证/授权,但可以依赖不同的数据。