【发布时间】:2011-02-15 07:34:14
【问题描述】:
一个新项目需要一个简单的面板(页面)供管理员和员工使用:
- 最好不要使用 SSL 或任何数字认证的东西,通过 http 进行简单的登录就可以了。
- 具有基本身份验证,仅允许管理员以管理员身份登录,并且任何工作人员都可以作为组“员工”登录。理想情况下,“凭据(用户名-哈希密码对)”将存储在 MySQL 中。
- 如果有包配置简单,或者策略简单编码。
- 某处(PHP 会话?)以某种方式(在每个页面的开头包含一个脚本以在执行任何操作之前检查用户组?),它将检测任何无效用户尝试访问受保护页面并将他/她重定向到登录表单.
- 虽然仍然保持高质量的安全性,但这是我最担心的。
坦率地说,我对 Internet 安全以及 WordPress/Joomla 等现代 CMS 如何处理此问题知之甚少。
我脑子里只有一件事:我需要使用盐对密码(SHA1?)进行哈希处理,以确保任何通过网络获取用户名和密码对的黑客都无法使用它来登录系统.这就是客户想要确保的。
但我真的不知道从哪里开始,有什么想法吗?
【问题讨论】: