หน้าแรก>ซอร์สโค้ด ASP>หมวดหมู่อื่นๆ
ดาวน์โหลด

เป็นเพียงระบบเข้าสู่ระบบ PHP อื่น

โปรดทราบว่าโครงการนี้ไม่ได้รับการบำรุงรักษาอีกต่อไป

โปรเจ็กต์นี้เริ่มต้นจากการมอบหมายงานง่ายๆ ในโรงเรียนสำหรับหลักสูตร PHP บางหลักสูตรที่ฉันเข้าร่วม จากนั้นฉันก็ต้องการระบบประเภทนี้สำหรับบางเว็บไซต์ที่ฉันกำลังสร้างและตัดสินใจที่จะเริ่มขยาย คำเตือน: โครงการนี้มี/จะมีความคิดเห็นมากเกินไป ซึ่งหมายความว่าฉันจะเพิ่มฟีเจอร์ที่ฉันพบว่ามีประโยชน์หรือน่าสนใจพอที่จะพัฒนาเท่านั้น

ข้อมูลพื้นฐานบางอย่าง

  • ควรมีความปลอดภัยเพียงพอต่อการใช้งานทั่วไป ฉันไม่รับผิดชอบหรอก.
  • ฉันมีตัวติดตั้งอัตโนมัติ
  • มันใช้ฟังก์ชัน password_hash() ของ PHP เพื่อแฮชและเกลือรหัสผ่าน ชื่อผู้ใช้จะถูกบันทึกเป็นข้อความธรรมดา
    • ฉันใช้ PASSWORD_DEFAULT ซึ่งในขณะที่เขียนใช้ BCRYPT
  • มันต้องมีฐานข้อมูล MySQL ข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าฐานข้อมูลของคุณด้านล่าง
  • ฉันใช้อินเทอร์เฟซ PDO คุณต้องติดตั้งไดรเวอร์ PDO_MYSQL ด้วย
  • ต้องใช้ PHP 7.0 หรือใหม่กว่า
    • คุณสามารถใช้เวอร์ชัน PHP ได้จนถึงเวอร์ชัน 5.5.0 หากคุณใช้ไลบรารี Random_compat (หรือคล้ายกัน)
  • ผู้ใช้สามารถเปลี่ยนชื่อผู้ใช้ของตน (หากได้รับอนุญาตผ่านการกำหนดค่า) และรหัสผ่าน

โครงสร้างไฟล์

AKA 'ทำไมจึงมีไฟล์จำนวนมาก?'

/admin

แผงผู้ดูแลระบบจะอยู่ที่นี่ เช่นเดียวกับเว็บแอปพลิเคชันอื่นๆ (เช่น WordPress) คุณสามารถเข้าถึงแผงผู้ดูแลระบบได้อย่างง่ายดายโดยพิมพ์ [host]/admin

/กำหนดค่า

โฟลเดอร์นี้ประกอบด้วยไฟล์สองไฟล์ที่ใช้ในการตั้งค่าตัวเลือกการกำหนดค่าบางอย่าง ข้อมูลเพิ่มเติมด้านล่าง

/css

เป็นเพียงสารพัด CSS สำหรับ UI

/ติดตั้ง

ตัวติดตั้งอัตโนมัติอยู่ที่นี่

/js

โฟลเดอร์นี้มีไฟล์ .js ทั้งหมดที่จำเป็นสำหรับส่วนต่อประสานผู้ใช้ในการทำงาน

/ยูทิลิตี้

โฟลเดอร์นี้รวมถึงกระดูกสันหลังของระบบ มีไฟล์ .php สำหรับเชื่อมต่อกับฐานข้อมูล ล็อกอินเข้าออก ลงทะเบียน/สร้างบัญชีใหม่ และแก้ไขบัญชีที่มีอยู่ นอกจากนี้ยังมี scripts.js ที่มีสารพัด JavaScript ทั่วไปสำหรับอินเทอร์เฟซผู้ใช้ คุณต้องแทรกข้อมูลฐานข้อมูลของคุณไปที่ credentials.php ตรวจสอบส่วนการตั้งค่าด้านล่างเพื่อรับความช่วยเหลือ

ใบอนุญาต

คุณควรอ่านสิ่งนี้ก่อนที่จะใช้สิ่งนี้ มันเป็นเพียงใบอนุญาต MIT ปกติเท่านั้น

README.md

ไฟล์นี้.

บัญชี.php

นี่คือหน้าการจัดการบัญชี ผู้ใช้สามารถเปลี่ยนชื่อผู้ใช้และรหัสผ่านได้ที่นี่

ดัชนี.php

ไฟล์นี้อยู่ที่นี่เพื่อการสาธิตเท่านั้น ผู้ใช้สามารถเข้าถึงหน้านี้ได้เฉพาะเมื่อเข้าสู่ระบบแล้วเท่านั้น มิฉะนั้น พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ

เข้าสู่ระบบ.php

ฉันใช้เวลาในการสร้างแบบฟอร์มเข้าสู่ระบบอย่างง่ายด้วย Bootstrap อย่าลังเลที่จะปรับเปลี่ยนให้เหมาะกับความต้องการของคุณ

register.php

ฉันใช้เวลาในการสร้างแบบฟอร์มลงทะเบียนง่ายๆ ด้วย Bootstrap อย่าลังเลที่จะปรับเปลี่ยนให้เหมาะกับความต้องการของคุณ

ลบInstall.php

โปรแกรมติดตั้งอัตโนมัติใช้เพื่อลบตัวเองออกหลังจากการติดตั้งเสร็จสมบูรณ์

รายการคำศัพท์.txt

นี่คือรายการคำศัพท์ภาษาอังกฤษที่ใช้บ่อยที่สุด มันถูกใช้โดยผู้แนะนำชื่อผู้ใช้ คุณสามารถแทนที่รายการด้วยไฟล์ .txt ของคุณเองได้ ทุกคำในรายการจะต้องตามด้วยการขึ้นบรรทัดใหม่

กำหนดค่าตัวเลือก

โปรดทราบว่าตัวเลือกการกำหนดค่าอาจมีการเปลี่ยนแปลง กลับมาตรวจสอบบ่อยๆ

หากคุณตรวจสอบโฟลเดอร์ /config คุณจะสังเกตเห็นว่ามีไฟล์ที่แตกต่างกันสองไฟล์ ให้อะไร? ไฟล์การกำหนดค่าหลักคือ config.php รวมถึงการตั้งค่าที่บังคับใช้ในระดับเซิร์ฟเวอร์ คุณควรจะแก้ไขไฟล์นี้เป็นหลัก

หากคุณใช้อินเทอร์เฟซผู้ใช้ส่วนหน้าที่ฉันให้มาด้วย คุณสามารถ/ต้องแก้ไข config.js ที่นั่น คุณสามารถจัดการลักษณะของสิ่งต่าง ๆ สำหรับผู้ใช้ทั่วไปได้ โปรดจำไว้ว่าการตั้งค่าเหล่านี้เป็นการตั้งค่าฝั่งไคลเอ็นต์เท่านั้น และ ไม่ได้ บังคับใช้ในทางใดทางหนึ่ง ดังนั้นผู้ใช้จึงสามารถแก้ไขได้

กำหนดค่าตัวเลือกใน config.php

ชื่อตัวเลือก คำอธิบาย ค่าเริ่มต้น ค่าที่รองรับ
$disableUserSelfRegistration ป้องกันไม่ให้ผู้ใช้ลงทะเบียน เท็จ บูลีน
$usernameMinLength ชื่อผู้ใช้ที่สั้นที่สุดที่อนุญาต 3 1 ->
$usernameMaxLength ชื่อผู้ใช้ที่อนุญาตนานที่สุด 30 1 ->
$passwordMinLength ความยาวขั้นต่ำของรหัสผ่าน 8 1 ->
$usernameRegExp ชื่อผู้ใช้ทั้งหมดจะต้องตรงกับนิพจน์ทั่วไปนี้ regExp ใด ๆ
$passwordRegExp รหัสผ่านทั้งหมดจะต้องตรงกับนิพจน์ทั่วไปนี้ regExp ใด ๆ
$ใหม่ระดับการเข้าถึงบัญชี มีประโยชน์สำหรับการสร้างบัญชีผู้ดูแลระบบบัญชีแรกของคุณ "ผู้ใช้" "ผู้ใช้", "ผู้ดูแลระบบ"
$debugMode ช่วยให้คุณสามารถปิดการใช้งานการเชื่อมต่อ dabase (สำหรับการดีบักเท่านั้น) "เลขที่" "เลขที่"
$debugAdminUsername อนุญาตให้คุณเข้าสู่ระบบขณะอยู่ในโหมดแก้ไขข้อบกพร่อง "ผู้ดูแลระบบ" สตริงใดก็ได้
$debugAdminPassword อนุญาตให้คุณเข้าสู่ระบบขณะอยู่ในโหมดแก้ไขข้อบกพร่อง - สตริงใดก็ได้
$debugSkipInstall นี่มีวัตถุประสงค์เพื่อการแก้ไขข้อบกพร่องเท่านั้น เท็จ เท็จ
$หมดเวลา เวลาที่ไม่มีการใช้งาน (เป็นวินาที) ที่จำเป็นในการออกจากระบบผู้ใช้ 900 จำนวนเต็มใดๆ
$adminPanelTimeout เวลาที่ไม่มีกิจกรรมที่จำเป็นในการออกจากระบบผู้ใช้ออกจากแผงผู้ดูแลระบบ 450 จำนวนเต็มใดๆ
$errorMessages แสดงข้อความแสดงข้อผิดพลาดโดยละเอียดเพิ่มเติม อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหล! ค่าเริ่มต้น "ค่าเริ่มต้น", "รายละเอียด"
$allowUsernameChange หากผู้ใช้สามารถเปลี่ยนชื่อผู้ใช้ของตนได้ จริง บูลีน
$forceHTTPS เปลี่ยนเส้นทางการเชื่อมต่อที่ไม่ใช่ HTTPS ทั้งหมดไปยัง HTTPS และส่ง HSTS เท็จ บูลีน
เกี่ยวกับ $forceHTTPS

ในปี 2019 การไม่ใช้ HTTPS เมื่อจัดการกับข้อมูลที่ละเอียดอ่อนใดๆ (เช่น รหัสผ่าน) ถือเป็นความเสี่ยงด้านความปลอดภัยอย่างมาก ด้วยเหตุนี้จึงขอแนะนำอย่างยิ่งให้ใช้เฉพาะโซลูชันโฮสติ้งที่รองรับเท่านั้น และเปลี่ยนตัวเลือกนี้ให้เป็นจริง ทุกวันนี้ คุณสามารถรับใบรับรอง SSL ได้ฟรีจาก Let's Encrypt ดังนั้นจึงไม่มีเหตุผลที่จะไม่ใช้มัน อย่างไรก็ตาม ในบางสภาพแวดล้อม (กำหนดค่าไม่ถูกต้อง) SERVER["HTTPS"] superglobal ไม่ได้ถูกกำหนดไว้ แม้ว่าจะใช้ HTTPS จริงก็ตาม นั่นส่งผลให้เกิดการเปลี่ยนเส้นทางอย่างไม่มีที่สิ้นสุด ฉันเองก็ได้เรียนรู้ว่าวิธีที่ยาก

ตัวเลือกการกำหนดค่าใน config.js

ชื่อตัวเลือก คำอธิบาย ค่าเริ่มต้น ค่าที่รองรับ
ปิดการใช้งาน UserSelfRegistration ปิดการใช้งานองค์ประกอบ UI ใด ๆ ที่เกี่ยวข้องกับการลงทะเบียน เท็จ จริงเท็จ
ชื่อผู้ใช้MinLength ชื่อผู้ใช้ที่สั้นที่สุดที่ UI ยอมรับ 3 1 ->
ชื่อผู้ใช้MaxLength ชื่อผู้ใช้ที่ยาวที่สุดที่ UI ยอมรับ 30 1 ->
รหัสผ่านMinLength รหัสผ่านที่สั้นที่สุดที่ UI ยอมรับ 8 1 ->
ชื่อผู้ใช้กฎ สตริงนี้จะแสดงขึ้นหากชื่อผู้ใช้ไม่ตรงกับ regExp สตริงใดก็ได้
รหัสผ่านกฎ สตริงนี้จะแสดงขึ้นหากรหัสผ่านไม่ตรงกับ regExp สตริงใดก็ได้
เปิดใช้งานข้อเสนอแนะชื่อผู้ใช้ ช่วยให้คุณสามารถปิดการใช้งานหรือเปิดใช้งานข้อเสนอแนะชื่อผู้ใช้ จริง บูลีน
อนุญาตให้เปลี่ยนชื่อผู้ใช้ ผู้ใช้สามารถเปลี่ยนชื่อผู้ใช้ได้หรือไม่ (เฉพาะ UI) จริง บูลีน
เปิดใช้งานข้อความเข้าสู่ระบบ แสดงข้อความใด ๆ ในหน้าเข้าสู่ระบบ เท็จ บูลีน
ข้อความเข้าสู่ระบบ กำหนดข้อความที่จะแสดงเมื่อเปิดใช้งานLoginMessage เป็นจริง - สตริงใดก็ได้

ตั้งค่า

ตามที่ระบุไว้ข้างต้น คุณจะต้องมีฐานข้อมูล MySQL ฐานข้อมูลไม่ต้องการพื้นที่มากนัก (เว้นแต่คุณจะมีผู้ใช้จำนวนมาก) และ MySQl เวอร์ชันล่าสุดควรใช้งานได้ คุณสามารถตั้งค่าฐานข้อมูลและสร้างบัญชีผู้ดูแลระบบด้วยตนเอง หรือคุณสามารถใช้โปรแกรมติดตั้งอัตโนมัติของฉันก็ได้

การใช้ตัวติดตั้งอัตโนมัติ

  1. มีฐานข้อมูล MySQL ที่คุณสามารถเข้าถึงได้
  2. นำทาง (โดยใช้เบราว์เซอร์) ไปที่รูทของโครงสร้างไฟล์ คุณจะถูกเปลี่ยนเส้นทางไปยังวิซาร์ดการติดตั้ง
    • คุณยังสามารถนำทางไปยัง /install/ ได้โดยตรง
  3. ปฏิบัติตามคำแนะนำบนหน้าจอ

ในระหว่างขั้นตอนแรกของการติดตั้ง โปรแกรมติดตั้งจำเป็นต้องเขียนไฟล์ลงในไดรฟ์ของโฮสต์ของคุณ หากคุณไม่มีสิทธิ์ที่เหมาะสม คุณต้องทำการติดตั้งด้วยตนเอง ดูคำแนะนำด้านล่าง

การตั้งค่าฐานข้อมูลด้วยตนเอง

  1. มีฐานข้อมูล MySQL ที่คุณสามารถเข้าถึงได้
  2. สร้าง users ตารางด้วยห้าคอลัมน์: username , password , accessLevel , lastLogin และ rememberMeToken ใช้ชนิดข้อมูลสตริงเช่น CHAR โดยส่วนตัวแล้วฉันชอบใช้ VARCHAR สำหรับ lastLogin ฉันขอแนะนำ INT(11) ฉันจะเพิ่มฟิลด์รหัสที่เพิ่มขึ้นอัตโนมัติเป็นคีย์หลักด้วย แต่นั่นไม่จำเป็นอย่างเคร่งครัด
  3. ใส่ชื่อโฮสต์ฐานข้อมูล พอร์ต ชื่อ และข้อมูลประจำตัวของคุณลงใน /utils/credentials.php ฉันแนะนำให้ใช้บัญชีเฉพาะที่มีการจำกัดสิทธิ์

ความยาวของสนาม

หากคุณใช้ VARCHAR หรือประเภทข้อมูลอื่นที่มีความยาวสตริงสูงสุดแตกต่างกัน ตารางด้านล่างจะมีประโยชน์

สนาม ความยาวที่ต้องการ (ขั้นต่ำ)
ชื่อผู้ใช้ เหมือนกับ $usernameMaxLength ใน config.php
รหัสผ่าน ฉันแนะนำให้ใช้ 255 เพื่อความปลอดภัย (เนื่องจากวิธีการเข้ารหัสเริ่มต้นของ PHP อาจมีการเปลี่ยนแปลง)
ระดับการเข้าถึง 5
เข้าสู่ระบบครั้งล่าสุด 11
จำ MeToken 255

ไม่ทราบ SQL ของคุณ?

ไม่ต้องกังวล บางสิ่งเช่นนี้ควรช่วยคุณได้: 

 CREATE TABLE IF NOT EXISTS users (
 id INT NOT NULL PRIMARY KEY AUTO_INCREMENT,
 username VARCHAR ( 64 ) NOT NULL UNIQUE,
 password VARCHAR ( 255 ) NOT NULL ,
 accessLevel VARCHAR ( 10 ) NOT NULL ,
 lastLogin INT ( 11 ),
 rememberMeToken VARCHAR ( 255 )
);

การสร้างบัญชีผู้ดูแลระบบบัญชีแรก

หลังจากตั้งค่าฐานข้อมูลแล้ว คุณจะต้องสร้างบัญชีผู้ดูแลระบบบัญชีแรก มีสองวิธีในการทำเช่นนั้น:

  • ไปที่ /install/createAdmin.php ซึ่งจะสร้างบัญชีใหม่ด้วยสิทธิ์ของผู้ดูแลระบบโดยใช้ชื่อ admin ระบบ และรหัสผ่านที่สร้างแบบสุ่ม (หากคุณทำตามตัวอย่าง SQL ของฉันด้านบนและตั้งค่าข้อจำกัด UNIQUE ให้กับฟิลด์ชื่อผู้ใช้ บัญชีจะไม่ถูกสร้างขึ้นหากมีอยู่แล้ว คุณจะไม่ได้รับข้อความแสดงข้อผิดพลาด) หลังจากที่คุณสร้างบัญชีผู้ดูแลระบบแล้ว คุณต้องลบออก (หรือเปลี่ยนชื่อ) โฟลเดอร์ /install สุดท้าย เข้าสู่ระบบบัญชีที่สร้างขึ้นใหม่และเปลี่ยนรหัสผ่านโดยใช้หน้าการจัดการบัญชี

หรือ

  • หาก createAdmin.php ไม่ทำงานด้วยเหตุผลบางประการ คุณยังสามารถเปลี่ยน $newAccountAccessLevel ใน config/config.php เป็น "admin" ได้ชั่วคราว จากนั้นสร้างบัญชีใหม่โดยใช้แบบฟอร์มการลงทะเบียนปกติ คุณต้องลบโฟลเดอร์ /install ออกจึงจะสามารถเข้าถึงหน้าเข้าสู่ระบบได้ อย่าลืมเปลี่ยนค่ากลับเป็น "ผู้ใช้" ในภายหลัง

สำคัญ! ฉันขอเตือนคุณอีกครั้งว่าคุณ ต้อง ลบโฟลเดอร์ /install ก่อนที่จะใช้ในสภาพแวดล้อมการผลิตจริง มิฉะนั้นใครก็ตามสามารถเห็นข้อมูลรับรองฐานข้อมูลของคุณได้!

หลังจากการตั้งค่า คุณสามารถสร้างบัญชีใหม่ (ผู้ดูแลระบบหรือปกติ) โดยใช้แผงผู้ดูแลระบบ

ตั้งค่าคำถามที่พบบ่อย

"ฟังก์ชัน Random_bytes ของคุณทำงานไม่ถูกต้อง"

ซึ่งหมายความว่าโปรแกรมติดตั้งสังเกตเห็นว่าฟังก์ชัน random_bytes(int) ไม่มีอยู่หรือทำงานได้อย่างถูกต้อง หากคุณใช้ PHP เวอร์ชันเก่ากว่า 7.0 คุณต้องใช้ไลบรารีบุคคลที่สามที่ใช้ฟังก์ชันนั้น สำหรับ PHP 5.x ฉันขอแนะนำอันนี้

ฉันไม่รู้ว่าฐานข้อมูลของฉันใช้พอร์ตใด

ค่าเริ่มต้นของ MySQL คือ 3306

วิซาร์ดการติดตั้งเริ่มต้นจากจุดเริ่มต้นหลังจากเสร็จสิ้น

สิ่งนี้จะเกิดขึ้นเมื่อวิซาร์ดไม่สามารถลบตัวเองออกได้ ซึ่งมักเกิดจากการอนุญาตที่จำกัดบนโฮสต์ แก้ไขปัญหาโดยการลบโฟลเดอร์ /install ด้วยตนเอง

การเชื่อมต่อฐานข้อมูลของฉันไม่ทำงาน

ตรวจสอบเคล็ดลับการแก้ปัญหาในคำถามที่พบบ่อยทั่วไปด้านล่าง

แผงผู้ดูแลระบบ

แผงผู้ดูแลระบบยังอยู่ในช่วงเริ่มต้นของการพัฒนา หลายๆอย่างอาจจะพัง

แผงผู้ดูแลระบบอนุญาตให้ผู้ดูแลระบบ...

  • ดูบัญชีผู้ใช้ทั้งหมด ระดับการเข้าถึง และเวลาเข้าสู่ระบบล่าสุด
  • แก้ไขระดับการเข้าถึงของผู้ใช้และรีเซ็ตเวลาเข้าสู่ระบบครั้งล่าสุด
  • สร้างบัญชีใหม่
  • ลบบัญชีผู้ใช้

ที่จะเพิ่มมากขึ้นในอนาคต

ฉันจะเข้าถึงมันได้อย่างไร?

/admin

คำถามที่พบบ่อยทั่วไป

ฉันจะเปิดโหมดแก้ไขข้อบกพร่องได้อย่างไร

อ่าน config.php อย่างละเอียดยิ่งขึ้น

ฉันได้รับข้อความ 'เกิดข้อผิดพลาดในการเชื่อมต่อ' หรือตัวติดตั้งอัตโนมัติแสดงข้อผิดพลาดเมื่อพยายามเชื่อมต่อกับฐานข้อมูลของฉัน

นั่นหมายความว่า PDOException เกิดขึ้นขณะพยายามเชื่อมต่อกับฐานข้อมูล คุณสามารถเปิดข้อความแสดงข้อผิดพลาดโดยละเอียดเพิ่มเติมได้ใน /config/config.php สาเหตุที่พบบ่อยที่สุดคือ:

  1. ชื่อโฮสต์ฐานข้อมูล พอร์ต ชื่อ หรือข้อมูลประจำตัวไม่ถูกต้อง
    ตรวจสอบอีกครั้ง
  2. ฐานข้อมูลล่ม
    คุณสามารถเข้าถึงฐานข้อมูลของคุณโดยใช้ phpMyAdmin หรือคล้ายกันได้หรือไม่?
  3. อินเทอร์เฟซ PDO ของ PHP หรือไดรเวอร์ PDO_MYSQL ไม่พร้อมใช้งานหรือกำหนดค่าอย่างถูกต้อง
    ลองอัปเดตเป็น PHP เวอร์ชันล่าสุดหากเป็นไปได้ ตรวจสอบให้แน่ใจว่าคุณหรือโฮสต์ของคุณเปิดใช้งาน PDO_MYSQL
  4. ไฟร์วอลล์ของโฮสต์ของคุณกำลังบล็อกการเชื่อมต่อ
    ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณหรือโฮสต์ของคุณไม่ได้บล็อกการเชื่อมต่อ โปรดทราบว่าบางโฮสต์ไม่อนุญาตให้มีการเชื่อมต่อ MySQL ไปยังโครงสร้างพื้นฐานภายนอก
  5. อย่างอื่น.
    โปรดเปิดปัญหาที่นี่ใน GitHub i และฉันพยายามคิดออก

ตัวเลือก "จดจำฉัน" ในหน้าเข้าสู่ระบบยังใช้งานได้หรือไม่

ไม่ มันไม่ใช่ และมันนานเกินไปแล้ว ฉันรู้ ฉันวางแผนที่จะไปถึงที่นั่นเร็วๆ นี้™ อัปเดต: ตอนนี้ใช้งานได้แล้ว โปรดทราบว่าจะจดจำการเข้าสู่ระบบเป็นเวลา 30 วันเท่านั้น (ด้วยเหตุผลด้านความปลอดภัย)

ตัวเลือกจำฉันไว้นั้นมีความเสี่ยงด้านความปลอดภัยสูงไม่ใช่หรือ?

ใช่ ฉันรู้ว่าการใช้งานในลักษณะนี้มักจะเปิดช่องโหว่ด้านความปลอดภัยใหม่ๆ อยู่เสมอ อย่างไรก็ตาม ฉันไม่ได้บังคับให้ผู้ใช้ใช้มันหรืออะไรก็ตาม หากผู้ใช้ไม่เลือกช่องทำเครื่องหมาย ระบบจะไม่สร้างโทเค็นการเข้าถึง จึงไม่มีความเสี่ยงด้านความปลอดภัยสำหรับผู้ใช้รายนั้น

นี่คือการทำงานของตัวเลือกจดจำฉัน:

  1. ผู้ใช้เข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่าน และทำเครื่องหมายที่ช่องทำเครื่องหมาย
  2. โทเค็นใหม่ถูกสร้างขึ้นสำหรับผู้ใช้นั้นโดยใช้ฟังก์ชัน random_bytes() ที่ปลอดภัยแบบเข้ารหัส โทเค็นนั้นจะถูกบันทึกลงในฐานข้อมูลและส่งคุกกี้สองตัวไปยังเบราว์เซอร์ ค่าของคุกกี้แรกคือชื่อผู้ใช้ของผู้ใช้ในรูปแบบข้อความธรรมดา คุกกี้ชิ้นที่สองมีความสำคัญมากกว่ามาก ค่าของมันคือโทเค็นที่สร้างขึ้น
  3. ผู้ใช้ที่มีคุกกี้ทั้งสองนี้จะมาถึงหน้าเข้าสู่ระบบ หากโทเค็นในคุกกี้ผู้ใช้ตรงกับโทเค็นในฐานข้อมูล ผู้ใช้จะเข้าสู่ระบบโดยอัตโนมัติ
  4. โทเค็นจะใช้งานไม่ได้หากผู้ใช้ออกจากระบบด้วยตนเองหรือผ่านไป 30 วัน

มีความเสี่ยงอะไรบ้าง?

ปัญหาหลักคือหาก "คนเลว" สามารถเข้าถึงโทเค็นของผู้ใช้ได้ พวกเขาก็สามารถสร้างคุกกี้และเข้าสู่ระบบในฐานะผู้ใช้นั้นได้อย่างง่ายดาย มีสองวิธีที่คนร้ายจะเข้าถึงโทเค็นของผู้ใช้ได้: โดยวิธีใดวิธีหนึ่ง (เช่น การแทรก SQL) รับมันจากฐานข้อมูล หรือโดยการขโมยคุกกี้ และ/หรือมูลค่าของมันจากผู้ใช้

ฉันกำลังทำอะไรเพื่อลดความเสี่ยงเหล่านี้

  • ไม่มีการสร้างโทเค็นหากผู้ใช้ไม่ทำเครื่องหมายในช่อง
  • โทเค็นจะไม่ถูกต้องหากผู้ใช้ออกจากระบบด้วยตนเองหรือหมดเวลาเซสชัน
  • โทเค็นจะใช้ไม่ได้หากผู้ใช้เปลี่ยนชื่อผู้ใช้หรือรหัสผ่าน
  • หากใช้ HTTPS ธงความปลอดภัยจะถูกตั้งค่าเป็นคุกกี้
  • โทเค็นทั้งหมดสามารถทำให้ผู้ดูแลระบบใช้งานไม่ได้ได้อย่างง่ายดาย
  • การปรับปรุงในเร็ว ๆ นี้ ...

เหตุใดฉันจึงไม่สามารถตั้งรหัสผ่านของตัวเองได้เมื่อสร้างบัญชีผ่านแผงผู้ดูแลระบบ?

ฉันคิดว่ามันเป็นความเสี่ยงด้านความปลอดภัย เนื่องจากบางคนมีแนวโน้มที่จะใช้รหัสผ่านที่ง่ายเกินไปหรือรหัสผ่านเดียวกัน อย่างไรก็ตาม ฉันอาจอนุญาตสิ่งนี้ในเวอร์ชันต่อๆ ไปผ่านตัวเลือกการกำหนดค่า

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด