我嘗試自動登錄表單。這裏是我的HMTL表格PHP通過鏈接自動授權
<input name="login:username" type="text" class="INPUT_USER">
<input name="login:password" type="password" class="INPUT_PASS">
<input type="image" src="login.gif" class="BUTTON" value="" border="0">
這是我的用戶名管理和密碼測試。
我想要打開此鏈接www.example.com/admin並以某種方式提交用戶名和密碼,以便在系統中自動輸入。這可能嗎?
我認爲像這樣http://Admin:[email protected]/admin
我會很高興,如果有人建議選項。提前致謝,如果我不清楚,我很抱歉。
永遠不要通過您的網址傳遞密碼。 服務器必須知道誰進入這個網址是帳戶的擁有者有記錄他在
解決方案1用戶:餅乾 存儲的cookie標記或散列密碼,以便服務器可以檢查它。
解決方法2:在登錄永遠 - 簡單 - 會議
將密碼存儲在cookie中使得它成爲攻擊者更容易的目標。將密碼哈希存儲在cookie中是無用的,除非服務器也接受哈希本身,在這種情況下,哈希*就是密碼。 –
我敢肯定,你不需要進行用戶登錄,無需輸入密碼所有的時間。這在您的方案中必須是特例。
正確的做法是在用戶實際需要登錄鏈接時爲用戶生成令牌。您可以生成密碼隨機,安全的令牌並將其與用戶相關聯。令牌還應該有一個時間戳來限制其使用。然後,您甚至可以創建包含令牌的鏈接(如果需要)。當用戶使用鏈接(令牌)時,可以使其無效,導致一次性令牌,或者如果您需要它一段時間,則在不再需要它時(甚至是週期性地使它失效),例如令牌可能是有效期爲一週或一個月,之後他們將不得不通過再次登錄來更新它)。
爲了提高安全性,您可以使用TOTP或HOTP以及Google身份驗證器等移動應用來設置簡單的多因素身份驗證。這樣,即使攻擊者擁有令牌,他們仍然需要用戶移動設備才能登錄。
另一種控制方法是顯示上次登錄時間和IP地址(從客戶端IP派生的客戶端的大致位置),以便讓用戶知道令牌是否被泄露。
你也應該有令牌失效,即。您的用戶應該能夠在他們認爲受到威脅時刪除令牌。
這些都是一些控件,至少會讓它至少有點安全。
將密碼存儲在cookie中非常不安全,將密碼哈希存儲在cookie中毫無意義。長期(永久)會話不安全,攻擊者只需要暫時保留一次會話ID,最壞的情況下,用戶將無法使其失效。
如果您有自動授權,您爲什麼不移除授權檢查?沒用。 – sensorario
@sensorario我知道,但應該有。你可以幫我嗎? – didsun
我不能給你不好的建議,對不起^ _^ – sensorario