내 목표는 stackoverflow 사용과 같은 시스템의 보안 로그인입니다. 나는 초보자 다. 그러나 아마 당신이 보았던 것에 따라, 나는 하루 종일 보안에 관한 stackoverflow 기사를 보냈다. 이 연구의 결과로 나는 이제 공격 계획을 세웠다. 특히이 페이지는 큰 도움이되었습니다 Using OpenID for website Authentication. 다음 시스템이 안전한 시스템이 될 수 있는지, 그리고 어떻게 시스템을 개선해야하는지 알려주시겠습니까?안전한 OpenID 사용자 인증
OpenID를 사용하여 사용자의 유효성을 검사하십시오.
일단 사용자가 OpenID에 의해 유효성을 검사 받으면 OpenID에서 사용자의 전자 메일 주소를 가져옵니다.
이메일 주소를 해시하고 세션 변수에 저장하십시오.
는 해시 된 이메일 주소를 기반으로 해당 사용자에게
반환 컨텐츠 적절한 데이터베이스의 해시 된 이메일 주소의 목록에 해시 된 이메일 주소를 비교.
특히 나는 ProviderOpenID 대신 전자 메일 주소를 사용하는 것이 불안합니다. (나는 다른 유래 페이지에서 이러한 질문에 대한 답을 발견로)
내가 있다고 가정하십시오 : 사용 후제대로 파괴 세션을.
내 서버가 세션 데이터를 액세스 할 수없는 위치에 저장하도록 설정하십시오.
내 데이터베이스를 안전하게 설정하십시오.
트래픽을 가로채는 것을 방지하기 위해 SSL을 사용하고 있습니다.
미리 감사드립니다.
감사합니다. @imichaelmiers에게 감사드립니다. 그것이 내가 할 일이다. PHP에 대한 인증 아키텍처를 권장 할 수 있습니까? – Brett