비밀번호를 사용하여 웹 페이지를 보호하고 싶습니다. 누군가 내 접근 방식을 비판하는지 궁금 하네.비밀번호 보호 웹 페이지
익명 사용자가 페이지로 이동하면 모달이 열리고 암호를 입력하라는 메시지가 나타납니다. 물론 누군가가 영리하고 디스플레이하기로 결정한 경우를 대비하여 뒤에서 어떤 내용도 표시하지 않습니다. 모달.
사용자가 비밀번호를 입력하면 임의로 생성 된 토큰을 리디렉션하여 쿠키로 저장하고이를 확인하여 사용자가 비밀번호를 계속 입력하지 않아도되도록합니다.
개인적으로 컴퓨터에 액세스하는 것 외에도 여기에 보안 문제가 있는지 궁금해하고 또한 개선 할 부분이 있을지 궁금합니다.
일부 세부 사항에 대해 아직 모호하다는 것을 알고 있습니다. 정확한 구현과 관련하여 중요하지 않은 것이 있다면 알려주십시오.
암호가 쿠키가 아니기 때문에 토큰을 쿠키로 저장합니다. – John
db/redis에 저장 될 충분한 길이의 무작위로 생성 된 토큰. – John
나는 "안전 시스템 같은 것은 없다. 단지 불안정한 정도이다."라고 시작해야합니다. 당신의 접근 방식은 작동 할 것이고, 당신은 세션 토큰과 비슷한 것을 구현하고 있는가? 나는 당신이 만료일을 세션 (서버 측에 저장)에두고 세션을 사용자의 IP에 연결할 것이라고 상상한다. 그런 식으로 토큰을 훔쳤다면 사용자의 IP를 스푸핑해서 사용해야합니다. –