Простая аутентификация, использующая zend_auth независимо от остальной части фреймворка Zend

Я работаю над системой входа в веб-приложение на PHP. Я знаю об опасности разворачивания вашей собственной системы, поэтому я надеюсь использовать какую-то предварительно созданную библиотеку.

Я видел, что zend_auth рекомендован в нескольких местах. Я также слышал, что zend_auth можно использовать независимо от остальной части фреймворка Zend. Это было бы предпочтительнее, поскольку мое приложение не полагается на какие-либо фреймворки, и я не хочу устанавливать весь фреймворк исключительно для аутентификации.

У меня нет предыдущего опыта работы с Zend, и я нахожу документацию в руководстве немного запутанной. Мне интересно: знает ли кто-нибудь какие-либо ресурсы, которые были бы полезны для объяснения того, как настроить простую систему аутентификации на основе zend_auth, но которая не полагается на остальную часть инфраструктуры Zend?

Спасибо за вашу помощь,


authentication php zend-framework login zend-auth
person Travis    schedule 22.06.2010    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Я знаю об опасностях использования вашей собственной системы

...

Я нахожу документацию в руководстве немного запутанной

Тогда это неправильное решение именно по указанным вами причинам. Если вы не понимаете, как его правильно использовать, он никогда не будет безопасным, и вы не сможете предоставить никаких гарантий, что он пригоден для использования.

Вы можете подумать о том, чтобы заплатить Zend за обращение в службу поддержки и за помощь.

Есть и другие проблемы с использованием готового кода. Если в нем есть дефект, его трудно идентифицировать, трудно устранить, а затем трудно объединить исправления поставщиков. Кроме того, хотя на самом деле это аргумент в пользу безопасности за счет неясности (и, следовательно, не является хорошо обоснованным), код, который вы пишете, не виден ни одному потенциальному злоумышленнику, пока вы его не опубликуете (если когда-либо), тогда как при использовании поставляемого готового продукта в качестве источника, если есть уязвимость, то любой сценарий kiddy может запустить атаку на ваш сайт.

C.

person symcbean    schedule 22.06.2010

arrow_upward
0
arrow_downward

Самая важная вещь для безопасной аутентификации / авторизации - это концепция, при которой все приложение имеет только одну точку входа, такую ​​как index.php, на которую все переписывается. в противном случае вы должны заботиться о каждом вызываемом файле, чтобы правильно включить и проверить авторизацию и т. д.

Сам по себе zend_auth не даст вам дополнительной защиты. это больше похоже на интерфейс, который можно подключить к чему угодно. так что в основном это то, что ваши приложения всегда используют один и тот же код для аутентификации / авторизации, но могут полагаться на разные данные.

person Andreas Linden    schedule 22.06.2010